20多年的开发部署后,api已经到处都是。2021年的调查研究中,73%的企业表示自己已经发布了超过50个API,且这一数字还在不断增长。
API在当今几乎每个行业里都起着举足轻重的作用,而且随着它们逐渐迈向业务战略前沿,其重要性还在平稳上升。出现这种现象其实毫不意外:API无缝连接不同应用和设备,带来前所未有的业务协同效应和效率。
但是,与软件任何其他组件一样,API也免不了存在漏洞。基于此,如果没有经过间隔的安全测试,API也有可能引入全新的攻击途径,将用户暴露在前所未有的风险之下。坐等生产部门发现API漏洞是不现实的,你只会等来严重延迟。
API不仅受广大企业青睐,也是攻击者眼中的香饽饽
API可不仅仅是简单连接企业各种应用,它们还会以无法预测的方式改变功能。API可能引入的很多独特缺陷都广为黑客所知,他们开发出不同方法攻击API,从而访问底层数据和功能。
开放Web应用安全项目(OWASP)的API Top 10表明,通过身份验证的合法用户利用API漏洞的情况并不鲜见,此类用户利用看似合法的调用,实际上却意图篡改API。这种攻击旨在篡改业务逻辑并利用设计缺陷,对攻击者极具吸引力。
每个API都是独特且专有的。因此,其软件漏洞也是独特且“未知”的。防御者很难发现这类可导致业务逻辑或业务过程级攻击的漏洞。
图1:业务逻辑漏洞和传统漏洞
是否给予了API安全测试足够的重视?
左移安全已广为多数企业接受,整个开发过程贯穿持续测试的做法已成常规。然而,API安全测试常被漏掉,或者执行时缺乏对所涉风险的重复理解。为什么会这样?原因不止一个:
因此,尽管左移安全已普遍受到大多数企业重视,但API安全测试却常被排除在DevSecOps蓝图之外。
这是个令人遗憾的状况,因为相比传统应用漏洞,API漏洞需要更长的响应时间:近期一项调查中,63%的受访者报告称需要更长时间来修复API漏洞。考虑到应用对API的依赖和快速采用情况,这一数字可能还会继续上升。
图2:相比传统应用漏洞,存在API漏洞情况下的平均修复时间
虽然大多数安全主管都意识到了API安全测试的重要性,但仍有近一半的安全主管称自己尚未将API安全测试解决方案完全集成进开发流水线中。
为什么常规安全测试方法无法覆盖API?
要实现全面的安全方法,第一步就是仔细考察当前对于应用安全测试的普遍态度:静态安全测试和动态安全测试。
静态安全测试采用白盒测试方法,基于应用的已知功能创建测试,审查应用的设计、架构或代码,包括数据在流经应用时可采取的诸多复杂路径。
动态安全测试采用黑盒测试方法,基于应用摄入特定输入集的的预期性能创建测试,不考虑内部处理或底层代码知识。
至于API,开发人员和安全团队常常争论这两种方法哪种最适用,各自的支持理由包括:
虽然有点扫兴,但以上两种观点都不完全正确。事实上,两种方法都需要确保广泛覆盖和处理一系列可能的场景。尤其是随着近期API攻击的兴起,防御者不能在可扩展性、深度和频率方面冒险。
图3:动态API安全测试与静态API安全测试
这种情况下,“灰盒”API安全测试成为了一个有趣的替代方案。因为没有用户界面,知道应用的内部运行机制(如参数、返回类型等)有助于高效创建针对业务逻辑的功能性测试。
理想状态下,综合考虑API安全测试的各个方面可以更好地创建灰盒解决方案,弥补单个方法的不足。此类业务逻辑方法可智能检查其他测试类型的结果,并自动或手动调整应用改进的测试。
业务逻辑API安全测试方法
业界越来越意识到API安全防护应贯穿整个API生命周期,将API置于安全控制的前端和中心。
为此,我们必须找到简化和弥合企业API安全测试的方法,将API安全测试标准融入开发周期并加以实施。这样一来,在运行时监测的帮助下,安全团队就能够在一个地方获得对所有已知漏洞的可见性。并且,左移API安全测试还可以削减成本并加速修复。
此外,如果能够自动化测试工作流,企业就内置了对重测试的支持:测试、修复、重测、部署的循环,保持流水线平稳运行,避免出现瓶颈。
采用业务逻辑方法执行API安全测试可以提高全生命周期API安全计划的成熟度,改善企业安全状态。
图4:生产到设计
然而,这种现代方法需要能自学习的工具,通过摄入运行时数据逐渐改进性能,从而深入了解应用的结构和逻辑。
这将涉及创建能够随运行过程不断学习的自适应测试引擎,积累关于API行为的深入认知,以便智能逆向工程其隐藏的内部工作机制。借助运行时数据和业务逻辑信息,企业能够享受黑盒和白盒两种方法带来的好处,实现可见性增强和自动化控制。
总结
除了逐渐普及,API也给Web应用带来了更多漏洞。许多企业甚至不清楚自身API应用范围和漏洞情况。黑客可以很容易地通过可用API探测已知和未知漏洞。
然而,企业常常忽视了API安全测试,像对待Web应用一样处理API安全测试。大多数测试方法,比如黑盒测试和白盒测试,并不适合API测试。
自然语言处理和人工智能(AI)的结合提供了可行“灰盒”选项,能够自动化、扩展和简化API安全测试的复杂过程。
java中的xml解析
dom是解析xml的底层接口之一(另一种是sax) 而jdom和dom4j则是基于底层api的更高级封装dom是通用的,而jdom和dom4j则是面向java语言的 DOM 是用与平台和语言无关的方式表示 XML 文档的官方 W3C 标准。 DOM 是以层次结构组织的节点或信息片断的集合。 这个层次结构允许开发人员在树中寻找特定信息。 分析该结构通常需要加载整个文档和构造层次结构,然后才能做任何工作。 由于它是基于信息层次的,因而 DOM 被认为是基于树或基于对象的。 DOM 以及广义的基于树的处理具有几个优点。 首先,由于树在内存中是持久的,因此可以修改它以便应用程序能对数据和结构作出更改。 它还可以在任何时候在树中上下导航,而不是像 SAX 那样是一次性的处理。 DOM 使用起来也要简单得多。 XML的四种解析器(dom,sax,jdom,dom4j)原理及性能比较(转自zsq) 1、DOM DOM 是用与平台和语言无关的方式表示 XML 文档的官方 W3C 标准。 DOM 是以层次结构组织的节点或信息片断的集合。 这个层次结构允许开发人员在树中寻找特定信息。 分析该结构通常需要加载整个文档和构造层次结构,然后才能做任何工作。 由于它是基于信息层次的,因而 DOM 被认为是基于树或基于对象的。 DOM 以及广义的基于树的处理具有几个优点。 首先,由于树在内存中是持久的,因此可以修改它以便应用程序能对数据和结构作出更改。 它还可以在任何时候在树中上下导航,而不是像 SAX 那样是一次性的处理。 DOM 使用起来也要简单得多。 另一方面,对于特别大的文档,解析和加载整个文档可能很慢且很耗资源,因此使用其他手段来处理这样的数据会更好。 这些基于事件的模型,比如 SAX。 2、SAX 这种处理的优点非常类似于流媒体的优点。 分析能够立即开始,而不是等待所有的数据被处理。 而且,由于应用程序只是在读取数据时检查数据,因此不需要将数据存储在内存中。 这对于大型文档来说是个巨大的优点。 事实上,应用程序甚至不必解析整个文档;它可以在某个条件得到满足时停止解析。 一般来说,SAX 还比它的替代者 DOM 快许多。 3、选择 DOM 还是选择 SAX ? 对于需要自己编写代码来处理 XML 文档的开发人员来说,选择 DOM 还是 SAX 解析模型是一个非常重要的设计决策。 DOM 采用建立树形结构的方式访问 XML 文档,而 SAX 采用的事件模型。 DOM 解析器把 XML 文档转化为一个包含其内容的树,并可以对树进行遍历。 用 DOM 解析模型的优点是编程容易,开发人员只需要调用建树的指令,然后利用navigation APIs访问所需的树节点来完成任务。 可以很容易的添加和修改树中的元素。 然而由于使用 DOM 解析器的时候需要处理整个 XML 文档,所以对性能和内存的要求比较高,尤其是遇到很大的 XML 文件的时候。 由于它的遍历能力,DOM 解析器常用于 XML 文档需要频繁的改变的服务中。 SAX 解析器采用了基于事件的模型,它在解析 XML 文档的时候可以触发一系列的事件,当发现给定的tag的时候,它可以激活一个回调方法,告诉该方法制定的标签已经找到。 SAX 对内存的要求通常会比较低,因为它让开发人员自己来决定所要处理的tag。 特别是当开发人员只需要处理文档中所包含的部分数据时,SAX 这种扩展能力得到了更好的体现。 但用 SAX 解析器的时候编码工作会比较困难,而且很难同时访问同一个文档中的多处不同数据。 4、JDOM JDOM的目的是成为 Java 特定文档模型,它简化与 XML 的交互并且比使用 DOM 实现更快。 由于是第一个 Java 特定模型,JDOM 一直得到大力推广和促进。 正在考虑通过“Java 规范请求 JSR-102”将它最终用作“Java 标准扩展”。 从 2000 年初就已经开始了 JDOM 开发。 JDOM 与 DOM 主要有两方面不同。 首先,JDOM 仅使用具体类而不使用接口。 这在某些方面简化了 API,但是也限制了灵活性。 第二,API 大量使用了 Collections 类,简化了那些已经熟悉这些类的 Java 开发者的使用。 JDOM 文档声明其目的是“使用 20%(或更少)的精力解决 80%(或更多)Java/XML 问题”(根据学习曲线假定为 20%)。 JDOM 对于大多数 Java/XML 应用程序来说当然是有用的,并且大多数开发者发现 API 比 DOM 容易理解得多。 JDOM 还包括对程序行为的相当广泛检查以防止用户做任何在 XML 中无意义的事。 然而,它仍需要您充分理解 XML 以便做一些超出基本的工作(或者甚至理解某些情况下的错误)。 这也许是比学习 DOM 或 JDOM 接口都更有意义的工作。 JDOM 自身不包含解析器。 它通常使用 SAX2 解析器来解析和验证输入 XML 文档(尽管它还可以将以前构造的 DOM 表示作为输入)。 它包含一些转换器以将 JDOM 表示输出成 SAX2 事件流、DOM 模型或 XML 文本文档。 JDOM 是在 Apache 许可证变体下发布的开放源码。 5、DOM4J 虽然 DOM4J 代表了完全独立的开发结果,但最初,它是 JDOM 的一种智能分支。 它合并了许多超出基本 XML 文档表示的功能,包括集成的 XPath 支持、XML Schema 支持以及用于大文档或流化文档的基于事件的处理。 它还提供了构建文档表示的选项,它通过 DOM4J API 和标准 DOM 接口具有并行访问功能。 从 2000 下半年开始,它就一直处于开发之中。 为支持所有这些功能,DOM4J 使用接口和抽象基本类方法。 DOM4J 大量使用了 API 中的 Collections 类,但是在许多情况下,它还提供一些替代方法以允许更好的性能或更直接的编码方法。 直接好处是,虽然 DOM4J 付出了更复杂的 API 的代价,但是它提供了比 JDOM 大得多的灵活性。 在添加灵活性、XPath 集成和对大文档处理的目标时,DOM4J 的目标与 JDOM 是一样的:针对 Java 开发者的易用性和直观操作。 它还致力于成为比 JDOM 更完整的解决方案,实现在本质上处理所有 Java/XML 问题的目标。 在完成该目标时,它比 JDOM 更少强调防止不正确的应用程序行为。 DOM4J 是一个非常非常优秀的Java XML API,具有性能优异、功能强大和极端易用使用的特点,同时它也是一个开放源代码的软件。 如今你可以看到越来越多的 Java 软件都在使用 DOM4J 来读写 XML,特别值得一提的是连 Sun 的 JAXM 也在用 DOM4J。 6、总述 JDOM 和 DOM 在性能测试时表现不佳,在测试 10M 文档时内存溢出。 在小文档情况下还值得考虑使用 DOM 和 JDOM。 虽然 JDOM 的开发者已经说明他们期望在正式发行版前专注性能问题,但是从性能观点来看,它确实没有值得推荐之处。 另外,DOM 仍是一个非常好的选择。 DOM 实现广泛应用于多种编程语言。 它还是许多其它与 XML 相关的标准的基础,因为它正式获得 W3C 推荐(与基于非标准的 Java 模型相对),所以在某些类型的项目中可能也需要它(如在 JavaScript 中使用 DOM)。 SAX表现较好,这要依赖于它特定的解析方式。 一个 SAX 检测即将到来的XML流,但并没有载入到内存(当然当XML流被读入时,会有部分文档暂时隐藏在内存中)。 无疑,DOM4J是最好的,目前许多开源项目中大量采用 DOM4J,例如大名鼎鼎的 Hibernate 也用 DOM4J 来读取 XML 配置文件。 如果不考虑可移植性,那就采用DOM4J吧!
当java程序员应该学什么,并且学的顺序是什么
java有三个方向:1 桌面应用程序开发 不过个人认为这个很少2 j2me也就是手机里一些小程序的开发3 j2ee 企业级开发 也是最有前途的 下面是本人j2ee学习的路径 是当时老师跟我讲的第一步:入门 随便找一本简单的详细的书看完第二部:看thinking in Java这本书讲解深入 有难度 看完的话受益匪浅 如果 觉得thinking in java 太难的话 就看java核心技术 简单一些 一共两卷 买盗版的吧 很便宜 哈哈 下面就是另外的一层境界了第三步:html css javascript 这些不是java的内容 但一定要了解第四步:jsp、servlet JavaBean这个没什么可说的 张孝祥的书不错 很全面 这时可以做个小网站什么的 用mvc设计模式 也就是JSP 负责显示界面 相当于MVC中的 VServlet 负责历程控制相当于MVC中的 CJavaBean 负责功能 相当于MVC中的 M 第五步:学习struts springhibernate框架 这时也可以做一些小项目了 实践一下当然你会发现实际练习中会有很多问题出现 这是提搞的好机会第六部:ejb 这是一个重量级的东西 慢慢学吧
冰风王座和混乱之治有什么区别?
1.冰封王座的地图比混乱之制的更全面2.冰封王座更改了以前的一些漏洞3.上面也有说过,种族的实力不是很平均,例如人族的箭塔在前期威力太高4.冰封王座能识别现在的一些地图,而混乱之制不行5.增加了新种族 英雄 兵种 宝物:血精灵族与迪加族 兽王,熊猫,机械师等等 远古战斧,四种种族的球等6.剧情有修改,以及新的质料片7.不过我认为最重要的是——PK时竟找不到商店来造
发表评论