本文講的是 :如何確保api在企業的安全使用(二), api安全問題以及如何避免它們
除了諸多優點外,應用程式設計介面也存在安全問題,正如最近的安全洩露事故所顯示的。安全問題通常不在於api背後的概念,而在於它的編碼方式。很多應用開發人員在編寫或使用api時沒有考慮安全因素,使得應用和資料處於危險之中。當涉及api時,糟糕編寫的**很快就會變成危險**。
所幸的是,企業及其開發人員可以採取一些措施來加強和確保api在企業環境的安全性。
在開發過程(當然是在發布應用之前)中,安全專家應該手動檢查api**,以測試它是否可能被攻擊者濫用或誤用。文件記錄也很關鍵,清楚記錄的**讓安全人員可以看到api應該以及不應該做什麼,並讓整合api到應用的人了解如何正確部署api。
在文件中,開發人員應該明確如何呼叫api、哪些資料將被返回以及以何種格式,還有可能出現什麼錯誤訊息。內部記錄還應該指明誰可以訪問api以及哪些資訊將被記錄以確定哪些資源出於審計目的被誰在何時訪問。在訪問的話題上,在適當的時候,機器id應補充身份驗證檢查。並且,還應該檢查每個api呼叫以確保使用者或裝置有正確的許可權來檢視、編輯或刪除所需資訊。然而,在使用者身份驗證後,很多開發人員通常省去了二次訪問控制檢查。
對於檢查api如何處理突發性輸入和請求,黑盒測試和模糊測試是關鍵。同樣重要的是,通過資料驗證例程來防止標準注入漏洞和跨站請求偽造攻擊,因為呼叫api可能來自不受信任的**。此外,應該在所有型別的端點進行測試,而不只是對web瀏覽器。通過非瀏覽器應用(例如移動應用)訪問時,很多api未能部署ssl,所以一定要確保資料始終是加密狀態--當沒有要求純文字格式時。滲透測試和漏洞評估也應該側重於api,因為它們是應用的接入點。
試圖利用第三方的api的企業必須確保其開發人員完全了解如何安全地部署它們,並驗證所有來自這些api的響應。很多開發人員(無論是來自第三方還是內部開發人員)喜歡重複使用網際網路發現的**,特別是涉及如何呼叫特定api時。然而,複製和貼上**,而不檢查它是否適合於特定內容,這是api相關漏洞進入應用的常見情況。
企業必須記住:雖然開發速度可能很重要,但對細節的注意也很重要。開發人員必須仔細閱讀api文件,永遠不要依賴於網際網路上的道聽途說。企業的開發時間表應該給開發人員足夠的時間來了解如何正確地部署api,以及了解api可能帶來的潛在風險—特別是當涉及共享使用者資料時。糟糕編寫或部署的api可能引入攻擊向量,並增加了與機密性、完整性、可用性和可問責性的風險,因為它們是企業資源的閘道器。並且,企業應該盡可能地避免沒有開放的豐富文件的api。如果加密金鑰被用作呼叫api的訪問和身份驗證機制,它們必須根據政策安全地儲存,永遠不要硬編碼到配置檔案或其他指令碼。
api的問題不太可能會很快消失;並且api正在成為現代開放企業的基石。鑑於其重要性,api應該得到建立和使用api的人的更多重視。如果安全地部署,api可以讓企業充分利用其自己和其他人的資料,同時確保便利性和安全性。如果部署不當,api可能被攻擊者利用來攻擊企業及其使用者。
原文發布時間為:2023年7月6日 佚名
原文標題 :如何確保api在企業的安全使用(二)
企業如何確保使用者和資料資產的安全?
我們都知道網路詐騙是什麼,例如帶有惡意鏈結或附件的網路釣魚郵件,或者來自偽造客服人員的詐騙 試圖掌控的賬號許可權。攻擊者會嘗試將使用者的郵箱盜取,或將號碼燒錄 移植到一張無法追溯到攻擊者的 sim 卡上,之後一旦能成功收到目標使用者的驗證資訊,他們便可以方便地使用所有平台的 忘記密碼了?嘗試修改密碼...
網上應用,如何確保你的資訊保安?
又有新巨頭雄心勃勃準備邁進中國市場,南韓三星公司打算3月在中國推出三星支付服務。其實,不僅是手機支付,網上各種實名制也是廣受詬病,讓老百姓深惡痛絕。以人們經常使用的 實名制為例,記者發現,雖然要求實名註冊,但在 預約平台上輸入編造的姓名和身份證號碼,只要格式正確就能註冊成功,進入預約流程。多數醫院網...
如何使用雲計算加密確保資料安全性?
自從人類文明剛剛出現,加密技術就已經出現。在基於計算機的複雜加密方法,也就是我們現在最常用加密技術問世之前,人們就總是希望保護敏感資訊以防外人的窺探。古希臘人通過在送信使者光頭上紋身來保護他們的秘密資訊。當信使到達目的地時,他們的頭髮又長出來,這樣訊息就會變得看不見了。而訊息的接受方只需要有乙個好的...