安基网 首页 资讯 安全报 查看内容

随着其日益普及REST API构成了重大的安全挑战

2019-3-5 10:49| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 简单,原理图,更快的开发和快速部署使API如此受欢迎和广泛使用。因此,它自然会带来各种挑战,以维护其实施并保护它们免受各种威胁,例如中间人攻击,缺乏XML加密,不安全的端点,API URL参数等。REST API具有与Web应用程序类似的漏洞。在本文中,我们将介绍一些常见的API漏洞,每个开发人员都应该了 ...

简单,原理图,更快的开发和快速部署使API如此受欢迎和广泛使用。因此,它自然会带来各种挑战,以维护其实施并保护它们免受各种威胁,例如中间人攻击,缺乏XML加密,不安全的端点,API URL参数等。

REST API具有与Web应用程序类似的漏洞。在本文中,我们将介绍一些常见的API漏洞,每个开发人员都应该了解这些漏洞并在其代码中寻找。

API公开敏感数据和保护

个人信息,信用卡信息,健康记录,财务信息,商业信息以及许多其他类别的个人信息都需要保护,因此我们需要评估和确定传输或存储的数据类型,并确保使用适当的加密保护关键数据算法和安全措施。REST API安全性最佳实践的一些注意事项如下:

  • 根据这些分类对数据进行分类并应用控制
  • 除非必要,否则不要存储敏感信息,并尽快丢弃。使用标记化和截断方法来防止敏感数据的暴露
  • 加密是必不可少的关键保护措施
  • 不要为敏感数据实现缓存(或禁用敏感数据事务的缓存)
  • 对密码使用salt和自适应(可配置的迭代次数)散列方法

身份验证攻击

身份验证攻击是黑客尝试利用身份验证过程并获得未经授权的访问的过程。绕过攻击,暴力攻击(用于密码),验证模拟和反射攻击是一些类型的身份验证攻击。基本身份验证,使用默认密钥的授权以及凭证授权是保护我们的API的一些保护措施。

跨站脚本

跨站点脚本(也称为XSS攻击)是将恶意代码作为Web服务输入的一部分注入的过程,通常是通过浏览器向不同的最终用户注入。恶意脚本一旦注入,就可以访问浏览器保留的任何cookie,会话令牌或敏感信息,甚至可以伪装呈现页面的整个内容,XSS分类为服务器端XSS和客户端XSS。传统上,XSS由三种类型组成; 它们是Reflected XSS,Stored XSS和DOM XSS。

跨站请求伪造

跨站点请求伪造(也称为CSRF,sea-surf或XSRF)是一个漏洞,Web应用程序可能会强制最终用户(通过伪造链接,电子邮件,HTML页面)对当前经过身份验证的操作执行不需要的操作会话。同步令牌模式,cookie到标头令牌,双提交cookie和客户端安全措施是常见的CSRF预防方法。

拒绝服务(DoS)攻击

拒绝服务是一种攻击,旨在通过发送大量伪造请求使目标机器快速达到其最大负载(服务请求的容量),因此,目标系统拒绝进一步的真实请求。

注射攻击

攻击者向应用程序提供不受信任的输入,该输入作为命令或查询的一部分被执行/处理,因此,这导致应用程序行为的部分或完全讨论,并导致诸如数据被盗,数据丢失,丢失等后果数据完整性,DoS甚至导致完全系统受损。

不安全的直接对象引用

不安全的直接对象引用,或简称IDOR,是一个同样有害的顶级API漏洞; 当应用程序根据用户输入(例如Id,filename等)公开对内部对象的直接访问时,就会发生这种情况。您可能已经观察到许多REST URI暴露了某种ID,尤其是在获取资源时。让我们举一个示例场景来向读者说清楚 - 说Bob正在使用API客户端,他需要获取ID为1001的文件。他需要使用myapi.server.com/browse/file/ID/1001, 但假设他正试图Alice的文件(1003),他不应该,也就是尝试使用URL myapi.server.com/browse/file/ID/1002,所以他应该是拒绝访问。如果没有,那么API将暴露给IDOR漏洞。

中间人(MITM)攻击

中间人攻击是来自网络中间的犯罪者地点或真实用户与应用服务器之间的通信的攻击。它打算窃取,窃听,冒充,秘密传递,拦截或改变两个通信方之间的API消息通信,除此之外似乎正在进行正常的信息交换。

重复攻击和欺骗

重复攻击和欺骗(又称回放攻击)是网络攻击,其中有效数据传输(应该只有一次)被攻击者多次(恶意地)重复,这些攻击者欺骗有效交易并重复它多次。喜欢。虽然服务器期望有效的事务,但它不会有任何疑问,因为这些请求是服务器上的有效事务。然而,这是一个伪装的请求,并导致客户的灾难性影响。

保护措施包括带有会话标识符的一次性密码,TTL(生存时间)测量客户端的MAC实现,并包括请求中的时间戳以及安全协议,如Kerberos协议预防,安全路由和挑战握手认证协议(CHAP)。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6662908154864468483/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部