《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > API安全風(fēng)險頻發(fā) 影子API成為主要來源

API安全風(fēng)險頻發(fā) 影子API成為主要來源

2022-11-05
來源:安全419
關(guān)鍵詞: API 影子API

  Cequence威脅研究團(tuán)隊發(fā)布了《2022年上半年API安全報告》(以下簡稱“《報告》”),《報告》顯示三分之一的惡意請求針對未知,、未管理和未受保護(hù)的API(影子API),。

  API 安全風(fēng)險1:

  影子 API 濫用 (OWASP API9)

  《報告》發(fā)現(xiàn)影子API濫用在2022年激增,在167億惡意交易中,,約有31%(即50億)針對影子API,其為2022年上半年的最大威脅,。

  API 安全風(fēng)險2:

  API 濫用正確編碼端點 (OWASP API10+)

  《報告》顯示,,該威脅排名第二,有36億個惡意請求,,包括針對運(yùn)動鞋或奢侈品的惡意購物 API 請求(30 億),;惡意禮品卡檢查(2.9億);創(chuàng)建虛假帳戶(2.37億),;鍵業(yè)務(wù)客戶交互平臺上的垃圾評論請求(3700 萬),。

  API 安全風(fēng)險3:

  憑證填充、影子API 和敏感數(shù)據(jù)泄露的“三位一體”

  《報告》表示,,這種API安全風(fēng)險(1億)也構(gòu)成了重大威脅,,其利用了多個 API 安全漏洞,例如用戶身份驗證中斷(API2),、數(shù)據(jù)過度泄露(API3) 和資產(chǎn)管理不當(dāng)(API9),。研究人員表示,這種組合證明攻擊者正在對每個API的工作原理等進(jìn)行詳細(xì)分析,。

  API安全是重中之重

  《報告》指出,,API已成為業(yè)務(wù)的基石,企業(yè)應(yīng)使API保護(hù)成為優(yōu)先事項,,并建議進(jìn)行持續(xù)API風(fēng)險評估以防止數(shù)據(jù)泄露,、中斷身份驗證和編碼錯誤。

  對于開發(fā)人員,,應(yīng)對API的安全性進(jìn)行良好的構(gòu)建和設(shè)計,,遵守API安全開發(fā)規(guī)范進(jìn)行實施,。對于管理人員,應(yīng)使用API管理平臺對API服務(wù)所面臨的風(fēng)險進(jìn)行檢測和防護(hù),。

  永安在線長期致力于API安全的研究,,其在《2022年Q2 API安全研究報告》給出了相關(guān)建議,企業(yè)除了已有的防御體系外,,也需要針對性地構(gòu)建API安全防護(hù)體系,,其中風(fēng)險情報是重要的組成部分,基于情報及早感知及時防御,,從而保障企業(yè)及其用戶的數(shù)據(jù)安全,。

  針對API面臨的安全威脅,瑞數(shù)信息打造了API安全管控平臺,,其包括API資產(chǎn)管理,、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊,,為API接口提供完整的安全管控方案,。

  如今API安全已成為提供API服務(wù)的企業(yè)之間以及企業(yè)內(nèi)部都需要關(guān)注的一個安全問題,一旦沒有很好的保護(hù)好提供服務(wù)的API,,不僅會對用戶的使用體驗以及個人隱私帶來威脅和風(fēng)險,,而且可能會使企業(yè)面臨安全威脅和風(fēng)險,API安全已成為重中之重,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。