开放全球应用程序安全项目(OWASP) 最近发布了自 2019 年以来其 api 安全 Top 10 文档的第一个更新版本的候选版本(草案)。让我们回顾一下在该草案中提议的更改,看看哪些关键因素正在影响当今的 API 漏洞,以便您可以更好地了解保护 API 的旅程。
面对无处不在的安全威胁,就让 Akamai 安全解决方案为你竖起“防护盾牌”!
延伸阅读,了解Akamai安全解决方案
随时随地,帮助您捕捉每一个安全风险!
OWASP 是一个非政府组织,它根据社区反馈和专家评估创建安全意识文档,描述当今组织中最常见的漏洞类型。
OWASP Top 10 于 2003 年首次发布,并定期更新。 TOP 10 名的受众范围从开发人员到安全分析师再到 CISO。 有些人专注于文档的更多技术方面,有些人使用它来确保他们购买的产品具有正确的覆盖范围。
除了 Web 应用程序安全 Top 10 之外,OWASP 还发布了一份单独的 API Top 10 文档,以强调 API 安全需要一种独特的方法。 “专注于理解和减轻应用程序编程接口 (API) 的独特漏洞和安全风险的策略和解决方案。”
API Top 10 自 2019 年以来没有更新过。从那时起,各行业对 API 的依赖变得更加普遍,70% 的开发人员今年预计将增加 API 的使用。
OWASP API 安全 Top 10 候选发布版本的最新更新现已推出。 让我们回顾一下今天的 API 漏洞格局有何不同(图 1)。
近期的变化中有哪些亮点
批量分配和过度数据泄露现在合并到损坏对象属性级别授权(BOPLA) 中。失效的对象级授权 (BOLA) 和 BOPLA 之间的区别在于,BOLA 引用整个对象,而 BOPLA 引用对象内部的属性(图 2)。
图 2:BOPLA 指的是对象内部的属性
在新的定义中要求防御者更深入地研究对象,这增加了检测攻击所需的复杂性和业务逻辑理解水平。
被 BOLA 涵盖并不意味着您也被 BOPLA所涵盖,将批量分配和过度数据暴露合并到一个类别中强调了对象中属性所需的注意。
对于选择 API 安全产品的 CISO 来说,这种区别非常重要,因为他们需要确保产品涵盖这
API6:2023 服务器 端请求伪造已加入,API8:2019 注入已退出
OWASP 社区放弃了注入的严重性并添加了服务器端请求伪造 (SSRF)。 这是一个大胆的举措,它表明托管安全服务提供商的格局正在发生变化,以及人们对安全产品开箱即用地解决威胁的期望正在发生变化。 此更改还允许在TOP 10中提供另一个攻击媒介的详细信息。
以下是 OWASP 社区选择进行此更改的一些建议原因:
API8:2023 缺乏对自动威胁的保护是TOP 10 中的新内容
OWASP 建议,随着时间的推移,限速防御措施的有效性会降低,除了实施缺陷或任何其他漏洞外,机器人程序可以通过按预期使用 API 以自动化方式对公司造成伤害。 详情参考OWASP 对 Web 应用程序的自动化威胁,它没有提供针对 API 的独特视角,但采用了通用方法。
以下是您需要了解的有关此补充的信息:
API10:2023 API 的不安全使用也是TOP 10 中的新增内容
由于-aaS 类产品的迅速发展,API 往往需要与不同的内部和外部(第三方)服务进行集成和通信,发送数据和接收数据。 在这些情况下遵循“基本”安全规则也很重要,安全产品在这个领域检测/主动防御可能会很复杂。
OWASP 在其文档中包含了一系列建议,包括一般建议和特定于 API 的建议,例如:
新的 OWASP API 安全 Top 10发布候选版本是朝着 API 特定方向迈出的重要一步,它与以应用程序为中心的 Top 10 有所不同,并强调了 API 威胁的独特性。
需要记住的一些要点包括:
Akamai 跟踪 API 的使用情况和 API 流量,作为其互联网状况 (SOTI) 报告的一部分。 您可以阅读以前的 SOTI 报告以了解更多信息,并查看每个季度的新 SOTI 报告。
苹果iPhone上的Siri是什么
其中很重要的一项是其即将发布的最新款iPhone 4S中的Siri软件。 收购去年4 月,苹果收购一家名为 Siri 的公司,Siri公司为iPhone开发了一款名为Siri的“虚拟个人助理”应用,该应用能够为手机提供自然语言搜索功能。 这就是现在iPhone 4S中的Siri。 福音Siri用到的核心技术为自然语言认知、解析、搜索和匹配,就像一个手机上的语音搜索引擎一样。 或许你会说,一个功能如此受限的手机居然能够做比强大的电脑还多的事情。 没错,从处理能力上讲,这些功能对于一款哪怕是双核处理器的智能手机来讲也太难。 不过,Siri可以利用网络的力量。 事实上,这正是 Siri的精妙所在。 Siri的数据源都是开放API的权威数据源,如维基百科和Wolfram Alpha,前者以其储存的知识量和知识的权威性著称,而后者则主要擅长智能分析。 如果苹果能够将美国航空的数据源拿过来,那你就可以通过Siri定票了。 此外,因为Siri能够帮助你把语言转化成文本,因此可以帮你快速处理日常生活中的很多“琐事”。 比如发邮件或者发Tweets,只需用口头告诉 Siri就行,不需要用手慢慢的打字。 而Todo List也可能不需要你精心打理了,想想你每天浪费在安排事情上的时间有多少!我们知道,亚马逊的Slik浏览器借助其强大的云后端帮你获取和处理数据,其实Siri的原理与此类似。 如果没有Wolfram Alpha强大的计算和分析能力,如果没有维基百科提供的海量数据,Siri恐怕也没法达到预想的功能。 所有这些,再次证明了开放数据的无限可能性。 (美帝的)世界因此更美好。 噪音当然,当你在大街上对着Siri说话的时候,也可能产生噪音。 试想,如果你和朋友各自问自己的Siri的话都被对方的Siri听到了,Siri是否困惑?当你的妻子问她的Siri一些关于你的未知秘密时,你又做何想?国内类似产品国内有类似产品如何?据说,你跟手机聊天时,手机可以把你的话录下来,然后通过网络传输到接受端,接受端有专门的接受员“解析”你的话,然后为你提供精准服务。 这是国内某运营商的一款产品。 哪怕你说四川话也能帮你“解析”。 当然,这种产品肯定要比Siri这样所谓的智能机器强很多。 只是其成本和速度不如Siri,更重要的时它的scalability不强。
FLASH怎么与服务器互动
AS3有个和JS通信的外部API类,使用这个类,可以和网页的JS互相通信,通过JS获取后台给出的数据,然后AS获取JS从后台获取的数据,就是传参的方式,然后根据参数进行判断并加载对应的影片
3D加速卡有哪几种?
3D显示加速卡漫谈 从3D游戏到三维设计,我们都需要3D技术的支持。 目前,高不可攀的专业3D技术正在渐渐走入寻常人家。 低价3D技术正广泛应用于我们使用的台式系统中,而不再只是主板供应商为了商业竞争而提供的一种选择。 为了有效地减轻CPU的负担以及提供完美的3D特殊效果,最佳的处理方式是在显示卡的绘图芯片上,增加直接负责3D图形处理和提供3D特殊效果的能力,也就是所谓的硬件加速能力。 3D显示技术也不再局限于应用在令人眼花缭乱的游戏上,虽然 3D 技术的引进最早的初衷正是3D游戏;通用的三维技术正一步步悄悄地走近我们的生活。 同时,三维软件需要统一的开发和使用平台,这方面,3D软件支持平台的开发和市场争夺正在如火如荼地进行着。 3D硬件发展简况 3D芯片是如今最热门的话题之一,一块好的3D加速卡可以大大减轻CPU的负担,甚至可以使一块速度很慢的CPU在三维图形上的表现大大超出另一块速度虽然很快但没有好3D加速卡的CPU。 虽然3D加速芯片分担CPU的处理任务的原理是大体相同的,但3D芯片的结构千差万别,有些芯片可以编程,如 Renditon公司基于RISC的Vrit和Chromatic公司的Mpact, Mpact 2,它们都采用了超长指令集(VLIW)结构。 大多数可编程3D芯片的性能依赖于驱动它的低层软件扩展程序。 Rendition和Chromatic目前的芯片都支持固件(FIRM WARE)模式。 OEM厂家编写自己的低级代码来加强对算法、数据结构和新特性的开发。 专业的3D加速卡有的中间件微代码模块允许系统设计者开启或关闭特定的应用,如3D图形、视频会议和电话通信等。 与此不同,另外一些专业3D卡则包括专门用于实用时3D操作的 像素管道硬件电路,用来作纹理映射和混合,另外,RISC内核负责几何造型和滤波(Filtering),这些都极大减轻了CPU的负担。 这种硬件电路解决方案牺牲了灵活性,但通常可以获得更高的性能。 当API和其它标准修改或升级时,用户都得依赖这些厂家提供新的软件驱动程序。 这些就是专业的3D加速卡的3D技术解决方案。 但专用的3D解决方案并不一定适用于今天的PC机,相反,今天的3D加速卡可以以像素泵并行工作方式、以独立的PCI卡形式与图形卡协同工作,即当3D芯片计算出像素点位置后通过PCI总线传送到图形显示卡上。 这方面的例子有:3Dfx Voodoo Graphics加速芯片和Voodoo II,Video logic的PowerVR等专用3D芯片,都要求一块现有的图形加速卡。 1.显存: 显存是显示卡的重要组成部分,随着加速芯片的发展,显存也逐步改变着。 从早期的普通DRAM到现在广泛流行的SGRAM, 显存的速度以及它对3D加速卡性能的影响也越来越大。 显存通常用来存储显示芯片(组)所处理的数据信息。 当显示芯片处理完数据后会将数据输送到显存中,然后RAMDAC从显存中读取数据并将数字信号转换为模拟信号,最后将信号输出到显示屏。 所以显存的速度以及带宽直接影响着一块加速卡的速度,如果你的3D加速卡有一颗强劲的“芯”,但是显存却无法将处理过的数据即时传送,那么结果就是你还是无法得到满意的显示效果,这同PC机的CPU和内存的关系差不多。 在容量一定的条件下,我们都知道在购买系统内存总是要买速度快的,同样显存也存在速度的差别,不同类型(甚至不同品牌)的显示卡用的显存也不尽相同。 比如老式的FPM和EDO DRAM的对比。 很多FPM都是60ns,而当EDO DRAM广泛采用后显存的速度达到了25ns,更高的速度带来的往往是更大的数据传输带宽,这对整个显示系统性能的影响是很大的。 但是在同种类型显存中,显存速度的提高对显卡性能的影响就不十分显著。 数据传输带宽指的是显存一次可以读入的数据量,这是影响显示卡性能的关键,它决定着你的显示卡可以支持更高的分辨 率、更大的色深和合理的刷新率。 显存的种类很多,但大体上可以分为两类,单端口显存和双端口显存。 单端口显存从显示芯片读取数据以及向RAMDAC传输数据都是经过同一个端口,这样一来数据的读写和传输就无法同时进行。 单口的显存包括:FPM DRAM:快页式DRAM,一般只工作在5-3-3-3状态的 66 MHz下。 EDO DRAM:可以工作在5-2-2-2状态和75MHz下。 SDRAM: SDRAM与早期产品的设计思路完全不同,它可以在一个时钟周期内进行数据的读写,从而节省了等待时间。 SDRAM现在已经成为显存市场上的主导产品,这主要是因为其低廉的价格和较佳的性能,通常SDRAM可以工作在5-1-1-1和100MHz下。 SGRAM:SGRAM是一种比较新的同步显存,而且它是为专为显示卡所设计的,它改进了过去低效能显存传输率较低的缺 点,为显示卡性能的提高创造了条件。 SGRAM可以工作在125MHz或更高的频率,而且价格也比较合理,所以应用日渐广泛。 以VRAM为代表的双口显存在性能上更具备优势,Video RAM的双端口较好地解决了单端口时影响显卡速度的这一难题,大多数时间内,数据从显示芯片通过一个端口传送到显存中,而与此同时另一个端口又可以将显存中已有的数据传送到RAMDAC中,这样就避免了数据进出时所浪费的等待时间。 但VRAM应用并不广泛,这是因为Video RAM是为显示卡所量身定作的,只能运用在显示卡上,需求范围较狭窄;而且Video RAM的合成需要更多的硅,价格非常高,只有专业的加速卡才使用它。 WRAM:是VRAM的一个改进产品,与VRAM相比WRAM的带宽要高出25%,而且当运用例如块填充时WRAM可以达到更高的效能,此外最重要的是WRAM的制造工艺要比VRAM简单,其价格自然要比VRAM低;当然,相比单口的显存,价格还是很高的;不过,这些优点已经足以使其成为新一代的显存新贵。 2.RAMDAC (Random Access Memory Digital-to-Analog Converter)在显存中存储的当然是数字信息,因为计算机是以数字方式运行的,对于显卡来说这一堆0和1控制着每一个像素的色深和亮度。 然而显示器并不以数字方式工作,它工作在模拟状态下,这就需要在中间有一个“翻译”。 RAMDAC的作用就是将数字信号转换为模拟信号使显示器能够显示图象。 RAMDAC的另一个重要作用就是提供显卡能够达到的刷新率,它也影响着显卡所输出的图象质量。 现在新的3D加速卡的RAMDAC的工作频率都在200MHz以上。
发表评论