网站API漏洞引发的安全防护重视

        USPS漏洞影响6000万用户。该漏洞是名为通知可见性的应用程序的一部分。该应用程序为企业、广告商和其他批量电子邮件发件人发送的电子邮件提供近乎实时的跟踪信息。该漏洞允许任何登录http的用户使用API查看其他用户的账户详细信息,包括他们的电子邮件地址、用户名、用户ID、帐户、地址和其他数据。在某些情况下,他们甚至可以代表他人更改账户详细信息。在USPS违规的前几周,谷歌报告了谷歌+社交网络应用程序中的一个漏洞。这个错误是谷歌+PeopleAPI的一部分,它存储用户信息,如姓名、电子邮件、年龄、昵称和生日。与其他社交媒体网站类似,谷歌+用户可以允许第三方应用程序访问他们的个人数据和他们朋友的公共个人数据。然而,这个漏洞使得朋友的私人数据可访问,影响了50万个用户账户,甚至促使谷歌决定彻底淘汰谷歌+。

outputo-20220124-093049-509-fzlo.png

在谷歌新闻报道之前,Facebook还宣布了其API代码中的漏洞。查看模式功能代码中的一个错误使攻击者可能窃取访问令牌,接管3000万用户的账户,损害他们的个人数据。这些众所周知的违规行为强调,API安全不仅仅是一次性事件的重要性。即使在开发和运营过程中尽一切努力解决网络安全问题,最好的代码编写者和安全架构师仍然容易犯错误。这些错误通常以API设计缺陷而不是编码错误的形式出现。鉴于API可能被滥用、误用和攻击的数百种方式,很难识别它们。

它们可能需要几个月才能找到。事实上,USPS漏洞已经两年没有被发现了,Facebook的违规行为花了14个月才被发现。如果每个API都没有可见性,几乎不可能快速发现和修复潜在的破坏性错误。Web应用程序防火墙(WAF)和API管理系统缺乏智能来检测可疑和异常活动的类型,以及何时使用这些错误。

构建API网络安全策略。因为API开发没有放缓的迹象,所以没有时间支持API的安全。API管理系统提供了一些安全功能,但不足以阻止日益复杂的黑客。网络安全解决方案不仅仅是攻击特征码和访问控制策略。API网络安全策略必须包括强大的基本安全功能,为漏洞提供一线防御,包括清楚地了解每个API上的活动。如果防御渗透,还需要能够检测和自动防止异常和恶意行为,包括常见的威胁操作和尚未发现的零日攻击。此外,由于连接量大,不能依靠手动方法。

但它可以依靠人工智能(人工智能)。基于人工智能的API安全策略可以超越静态规则和策略。通过对所有活动的持续检查和报告,人工智能可以让您深入了解API流量,并检测数据和应用程序中的异常行为,从而自动黑客使用API。在人工智能上构建API安全时,可以主动保护整个组织的API基础设施免受黑客和不良行为者的侵害。

分享: