API:保护拼接连接应用程序
在当今的数字驱动世界中,应用程序编程接口(API)是创新的重要推动力。应用程序(或应用程序组件)可以利用API连接到其他应用程序并自动进行通信。面向客户,面向合作伙伴和内部应用程序都在使用API,以支持移动,SaaS和Web应用程序。
可视化此更改的一种方式是,将Web应用程序看成床单而不是被子,而将API与将拼布被子块固定在一起的针脚联系在一起。使事情复杂化的是,由于通常有几个人在一起工作,所以他们可能会使用不同类型的线,并且每个贴片天生具有不同的质地,不同的孔隙度和强度,甚至可能来自于不同时代。这一点至关重要,因为我们现在创建的被子对于史诗般的比例应用具有攻击面。
现代应用程序有何不同
尽管API并不是新的,但在过去的几年中,应用程序的体系结构发生了重大变化。在传统的Web应用程序中,数据处理是在服务器端进行的,然后将生成的Web页发送到客户端浏览器进行渲染。随着客户端设备变得越来越多样化和强大,基于API的现代应用程序使用API从后端服务器发送和接收数据,以提供应用程序的功能。
您可能还记得在移动技术发展初期,当您在智能设备上访问银行应用程序或您最喜欢的旅游网站时,它只是打开一个Web浏览器,就像您从台式计算机访问标准网页一样。对于移动设备,这种体验要比一流的要少。结果,金融,旅行和零售组织开始构建载有API的移动应用程序,这些应用程序可以在不使用浏览器的情况下实时检查余额,转账,座位可用性和产品可用性。随着越来越多的功能从坚固的后端处理世界转变为高度敏捷且变化多端的移动世界,并且其继续以天文数字的速度增长,这具有深远的意义。
正如您所看到的,API在无服务器架构,容器,微服务,单页应用程序(SPA),移动应用程序,物联网等中扮演着非常重要的角色。
API风险
通过设计,客户端开发人员需要对服务和数据的细粒度访问。像基本的Web请求一样,API调用包含URL,方法,标头和其他参数。API通常会提供详细的文档,以向开发人员提供透明度,但同时也为黑客提供了用于攻击的蓝图。API为打算合法或以其他方式获得访问权限的人员定义了进入相邻系统和应用程序的后门。API公开了应用程序逻辑和数据,因此提供对潜在敏感数据和关键任务服务的多个源的访问。反过来,它们以指数方式扩大了攻击面。
如Micro Focus的“ 2019年应用程序安全风险报告”中所述,对超过11,000个Web应用程序的分析表明,过去几年API滥用问题大约翻了一番。随着API的重要性日益增加并且从人们的视野中隐藏起来,它们往往比其他资产带来更大的业务风险。
API发现
大多数组织对自己的应用程序公开哪些API的了解有限或没有了解,更不用说保护它们安全的应用控件。与您可以“抓取”的Web应用程序不同,API没有要抓取的内容,可能很难发现。如果没有通过某种方式以编程方式获取此信息,则API发现将难以自动化。鉴于API的重要性日益提高,至关重要的是要更好地了解存在哪些API,谁拥有它们以及他们正在侦听哪个端口。
例如,在金融世界中,处理贷款申请以通过API到达其他组织(如征信局)以帮助进行贷款决策和执行过程时,这是非常普遍的。很多时候,技术还包含为大型机开发的代码,而智力资本早已荡然无存。流过什么信息?自然敏感吗?如果被盗意味着什么?
一些组织开始主动加入控件并利用API工具来获得可见性和控件。API网关可以创建,管理,保护和评估正在使用的API。其他工具可以提供API及其所有交互的全貌。
API攻击面
威胁参与者可以采用多种方式来针对现代应用程序。API只是整个攻击表面的一小部分-不要让它们成为盲点。由于它们是应用程序的窗口,因此很容易滥用API。Micro Focus的研究表明,2018年,分析的Web应用程序中有35%出现了API滥用问题。移动应用程序的滥用率上升到52%。了解API的弱点和弱点可以提供更完整的攻击媒介信息,这些攻击媒介可以用来破坏应用程序并开始完成此数字被子的可视化表示。
API协作工具可用于向漏洞扫描程序提供输入,以对暴露的API进行更全面的分析。实际上,通过与这些API工具一起使用,与对传统Web应用程序进行扫描相比,可以更好地实现API的漏洞扫描,并且容易得多。
另一个考虑因素是如何处理经过身份验证的API,对于现代应用程序而言,API可能会变得相当复杂。目标扫描器还可以应对复杂的身份验证和自定义参数要求。否则,API的覆盖范围将受到限制。
了解API攻击面后,您可以使用签名,加密,配额,限制,令牌和API网关来减轻风险,以确保不会破坏我们不断扩展的数字被子的缝隙。在发生漏洞之前,了解这些潜在的攻击媒介,以减轻这些风险。
内容由匿名用户提供,本内容不代表vibaike.com立场,内容投诉举报请联系vibaike.com客服。如若转载,请注明出处:https://ispeak.vibaike.com/33484