API NEWS | API进化下的威胁升级:攻击速度刷新纪录

阅读量309050

发布时间 : 2023-07-07 11:36:55

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  1. 一篇关于攻击者利用API漏洞速度快速增长的报告
  2. 一篇关于Twitter API中断阻止登录的文章
  3. 一篇关于OWASP Top 10内容变更的文章

攻击者利用API漏洞速度快速增长

根据Wallarm的研究,他们分析了350,000份报告,并发现了来自650个不同供应商的337个专门针对API的漏洞。在追踪了115个与这些漏洞相关的已公开漏洞后,报告得出了结论:API的威胁形势正变得越来越危险。

报告得出的结论是,根据2022年的数据,API正面临越来越多的攻击,并且存在以下引人注目的趋势:

  1. API攻击飙升:报告显示,对观察到的API的攻击增长了197%。简而言之,攻击者正在以迅猛的速度增加对API的攻击次数。
  2. CVE激增:有关常见漏洞和公开披露(CVE)的数量增加了78%。这意味着攻击者有更多的攻击方式和漏洞利用选项。
  3. 利用时间缩短:令人担忧的是,利用API漏洞所需的时间明显缩短,这让保护API安全变得更加困难。报告中引用的数据表明,攻击者甚至在CVE发布之前就开始利用零日漏洞,而这段时间已经从过去的58天减少到几乎为零。

报告解读,2022年API威胁的数量翻了一番,而且在很多情况下,漏洞在被公开披露之前就已存在。注入攻击成为攻击者主要使用的手法,并且攻击者更频繁地针对DevOps和云原生平台。

小阑建议:

为了提高API的安全性并有效应对API威胁形势,建议大家:

  1. 采用安全开发生命周期(SDLC):在开发API时,将安全性作为一个关键指标,并将其纳入整个开发生命周期中。这包括对需求分析、设计、编码、测试和部署阶段进行安全审查和测试,以确保API在每个阶段都符合最佳安全实践。
  2. 强化身份验证和授权机制:为API实现强大的身份验证和授权机制,例如使用API密钥、令牌或OAuth等方式。确保只有经过认证和授权的用户能够访问和使用API,以防止未经授权的访问和恶意操作。
  3. 限制敏感数据的暴露:API设计中要特别注意敏感数据的保护。仅暴露必要的数据字段,对敏感数据进行加密传输,并确保进行适当的访问控制,只允许需要使用这些数据的用户或服务访问。
  4. 实施访问控制和权限管理:采用基于角色的访问控制(RBAC)模型,根据用户角色和权限来控制对API资源的访问。同时,定期审查和更新权限设置,确保用户只拥有必要的权限,防止恶意用户滥用API。
  5. 定期更新和修补漏洞:及时关注API供应商的安全更新和漏洞公告,并确保及时应用修补程序。定期进行漏洞扫描和安全评估,以发现和修复可能存在的安全漏洞。
  6. 监控和日志记录:实施强大的监控机制,对API的使用情况进行实时监测,及时发现异常活动和潜在的安全威胁。同时,建立详细的日志记录系统,记录所有的API请求和响应,以便进行安全审计和故障排查。
  7. 提供安全培训和文档:为开发人员、管理员和终端用户提供安全培训和文档,使其了解并遵守最佳的API安全实践。教育用户如何正确使用API,并提供必要的参数和示例以确保他们能够安全地集成和使用API。
  8. 与专业安全公司合作:考虑与专业的API安全公司合作,进行API安全审计、漏洞扫描和渗透测试等服务,以获取更全面的安全评估和建议。

Twitter API中断阻止登录?

这是一篇关于Twitter API中断阻止登录的文章。全球范围内的Twitter用户在登录、退出账号、分享推文、点击链接以及查看图片时,遇到了一系列问题,Twitter API的中断阻止了用户的访问。这种影响范围广泛,几乎涉及到了所有使用Twitter的用户。

简单来说,由于对API后端进行了一些相对较小的更改,却引发了重大的中断问题,影响到了用户使用API以及移动和Web应用程序。全球范围内都有报告指出这次中断,用户们看到了与API访问相关的各种错误信息。甚至Twitter的支持人员在他们的Twitter帖子中承认了这次中断,埃隆·马斯克后来也表示“一个小小的API更改竟然会产生如此巨大的影响,并且最终需要完全重写”。

这次中断发生在Twitter宣布计划关闭免费访问层之后不久。很显然,考虑到Twitter的规模,重新设计整个API系统将导致一定程度的不稳定。

API的中断导致用户无法正常访问。这对于用户来说会带来一系列问题:

  1. 服务不可用:由于API的中断,用户将无法使用相关的移动应用程序、网站或其他基于该API构建的服务。这将使他们无法完成所需的操作或获取必要的信息。
  2. 错误消息:在中断期间,用户可能会遇到与API访问相关的各种错误消息。这些错误消息会给用户带来困惑和不便,因为他们无法获得预期的结果或功能。
  3. 影响业务流程:对于那些依赖于API的企业和组织而言,中断可能会严重影响其业务流程。如果他们的核心功能依赖于API,中断将导致业务停滞,造成损失并影响用户体验。

小阑解读:

为了避免这种API中断带来的问题,可以考虑以下几点措施:

  1. 定期备份和监控:确保对API进行定期备份,这样在出现中断时可以快速还原至最近的可用状态。同时,设置监控系统来实时监测API的运行状态,及时发现并解决潜在问题。
  2. 逐步更新和测试:当需要对API进行更改时,采取逐步更新的方式,而不是一次性全面修改。在每个小的更改后,进行充分的测试,以确保更改不会引发不可预料的问题。
  3. 分布式容错策略:建立容错机制,以防止单点故障和中断。例如,可以考虑使用多个服务器或云平台,并在其中一个出现故障时自动切换至备用服务器。
  4. 实时通知和支持:在API中断期间,及时向用户提供准确的错误信息和状态更新。同时,提供快速响应和支持,帮助用户解决遇到的问题。

OWASP API安全进化版:TOP 10变革

在数字化时代,API扮演着极其重要的角色,它们就像是不同系统之间的桥梁和通信管道,让不同的组织和应用之间能够共享数据和功能。预计2024年API请求命中数将达到42万亿次,这显示了API在全球范围内的广泛应用。与此同时,API也面临着严峻的安全挑战,据Gartner预测:到2024年,由API安全引起的数据泄露风险将翻倍。最近,Dana Epp报道了OWASP API安全TOP 10内容发生的变化。

2019年,OWASP首次发布了API Security Top 10,后来随着API应用的发展和安全实践的深化,OWASP于2023年正式发布了API Security Top 10的内容更新,对API身份认证和授权的管理进行了重点突出;此外,自动化威胁防护缺失和API供应链安全风险等也被首次加入到了清单中。

之前的“API8:2019 -注入”和“API10:2019 -日志记录和监控不足”这两个缺陷类别从前10名列表中被移除了。这并不意味着注入攻击减少了,而是特定于API的攻击变得更加突出。同时,日志记录和监控的不足一直是一个与软件安全相关的重要问题,API开发应该遵循最佳实践指南。

然后,新增了三个内容:

  1. 首先是“API6:2023 -服务器端请求伪造”,这反映出针对API的攻击有所增加,将请求重定向到API控制范围之外的URL,可能带来未经授权的数据泄露、数据篡改、服务中断等后果。
  2. 其次是“API08:2023 -缺乏对自动威胁的保护”,是指机器人或自动攻击针对API的日益突出。通常涉及理解API的商业模型,发现敏感的业务流程,并自动访问这些流程,从而对业务造成损害。
  3. 最后是“API10:2023 –第三方API的不安全调用”,指的是第三方API调用中隐藏的信任危机。开发人员通常更倾向于来自第三方API的数据,而不是用户自己输入的数据。因此,他们可能会对输入验证和数据清理等安全标准采取较弱的保护措施。如果攻击者破坏了第三方服务,他们就有可能通过这个受损的API服务操纵使用相关数据。

总结一下,OWASP API TOP10这些趋势变化反映出了特定的API攻击威胁突出化,说明在信息化和数字化快速发展的时代,传统的身份验证方式已经无法满足日益增长的安全需求,需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。

小阑分析:

增加了“服务端请求伪造漏洞”内容,说明这是一种非常危险的安全漏洞,攻击者可以利用该漏洞窃取敏感信息、发起内网攻击、进行DoS攻击等,同时表明了在服务端请求处理过程中,输入验证与过滤的重要性。加强对SSRF漏洞的防范,可以有效提高应用程序的安全性。

增加了“缺少对自动化威胁的防护”内容,说明在实际应用中,很多企业缺乏对自动化攻击的防护措施,存在一定的安全风险。自动化攻击可以通过机器学习算法、大数据分析、自动化工具等方式,快速、准确地扫描目标系统漏洞或发起攻击,对系统造成严重威胁。

增加了“第三方API的不安全调用”内容,说明不安全的第三方API可能会导致系统遭受攻击,企业需要加强安全意识,选择可信赖的服务提供商,进行充分的安全测试和验证,限制API的权限并监控API的使用情况,可以保障系统的安全性。

随着API的广泛及深入应用,其重要性在日益增加;攻击者对API的利用也变得更加普遍和有组织性。了解和评估API安全风险是保护应用程序和敏感数据免受恶意攻击的关键步骤。OWASP API Security Top 10为我们提供了一个框架,可以识别和理解常见的API安全风险,并指导我们制定相应的安全对策。通过深入了解每个风险的特点和潜在影响,我们能够更好地规划和实施必要的防御措施。

感谢 APIsecurity.io 提供相关内容

 

本文由星阑科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/289587

安全KER - 有思想的安全新媒体

分享到:微信
+16赞
收藏
星阑科技
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66