尽管全球经济形势趋于严峻,但API经济仍在继续增长。对于大多数行业来说,API促进了几乎所有应用程序或服务的即时交易,加快了商品和服务的交易速度。应用交付网络和业务解决方案提供商F5公司最近发布的一份报告以这种方式描述了API的快速增长:“如果说数据是新的石油,那么API将成为新的塑料。”
开放API(或公共API)提供了许多机会和竞争优势。企业可以利用开放API来重塑其供应和交付链。企业可以利用广泛的开发人员人才库和不断增长的软件资源库。此外,企业可以将其商业开发的API作为开放API发布。通过这样做,他们可以吸引新客户、提高品牌忠诚度,并提升他们的市场形象。
然而,开放API也带来了固有的风险和挑战,企业需要在开始这一旅程之前解决这些问题。
本文将为IT工程师、领导团队成员和网络安全专业人员提供对开放API生态系统的10种威胁的快照。
API经济:机遇与威胁
开放API提供了许多机会,其中包括改进企业与供应商、服务提供商和客户的联系和协作,最终这有助于改善客户体验。通过API端点连接的微服务使企业能够利用适合用途的技术,摆脱了使用繁琐的单一系统的束缚。从而提高了生产力。所有这些都将显著地降低应用程序开发、部署和维护的成本。
然而,从本质上说,开放API也吸引了网络犯罪分子的注意。由于API是交易性的,因此它们也容易受到意外或恶意泄露个人、财务和其他敏感信息的影响。未受保护的端点或未经验证的客户端请求可能会将API暴露给DDoS、SQL注入或勒索软件等潜在威胁。这些都会严重影响开放API的开发人员和消费者。
参与开放API生态系统需要对此做好周全的准备,而准备工作从威胁识别开始。
开放API(或任何API)的10个威胁
网络安全行业已投入大量资源来识别、分类和分级API攻击向量。基于这项研究,以下列出了开放API面临的10种值得注意的威胁。
(1)对象级入侵
API依赖于经常处理对象ID的端点。此类对象可以是任何资源,例如文件、数据库表或端口。糟糕的应用程序设计可能会利用随客户端请求发送的对象ID。
为了防止这种情况发生,API的代码在每次获取对象数据或对其进行任何操作时都必须执行对象级别的授权检查。此类检查确保发出请求的用户或应用程序具有执行此类功能的最低权限。具有最佳实践的传统实施使用最小权限原则和基于角色的访问控制来进行这些检查。
(2)用户身份验证漏洞
恶意行为者利用破坏用户身份验证的API来欺骗有效用户,获得对系统不同部分的未经授权的访问,并发动进一步的攻击。
使用强大的身份验证机制保护API端点对于防范这种威胁至关重要。用户身份验证通过要求客户端提供有效凭据(如用户名/密码组合或API访问密钥)来保护API。
(3)无意的数据暴露
糟糕的编码实践通常会在代码中暴露对象属性、数据或其他敏感信息。客户端应用程序必须在将结果返回给用户之前过滤掉这些信息。但是,此类数据(例如其他API的密钥、凭据或个人信息)可能会保留在代码中,并且当API代码托管在公共存储库上时,它们会在无意中对外泄露。
(4)分布式拒绝服务(DDoS)
速率限制将客户端请求的数量限制在给定时间内的特定最大值。在此期间收到的任何其他客户请求都将被拒绝。在通常情况下,API网关会执行这一限速任务。
(5)授权黑客
复杂的对象和功能访问控制策略有时可以具有多个层次结构、组、角色和权限。这种复杂的安全机制笨重且难以维护。开发人员或管理员有时可能会为用户或应用程序分配更高的权限以规避问题。这通常会导致黑客通过针对个人帐户或完全绕过访问控制中的缺陷来利用更高的权限。
(6)批量分配的弱点
这种威胁也称为自动绑定或对象注入漏洞。现代应用程序框架鼓励开发人员使用将客户端请求输入值链接到代码变量和其他内部对象的自动功能,以简化和加速开发。利用此框架带来的副作用,网络攻击者可以更改或覆盖开发人员从未打算公开的关键对象的属性。
(7)安全错误配置缺陷
安全错误配置的示例包括不安全的默认设置、不充分或未跟踪的配置更改、不安全的存储、错误配置的HTTP标头、允许的跨域资源共享(CORS)以及包含敏感信息的详细错误消息。而部署和配置支持开放API运行的基础设施资源需要特别注意安全性。
(8)代码注入漏洞
代码注入涉及恶意玩家利用糟糕的输入验证在API请求中嵌入SQL或其他命令。当不能很好地防范此类攻击的API代码运行时,这些命令可能会暴露敏感数据、执行数据修改或删除,或促进进一步的渗透。
(9)资产管理不善
由于API比传统的Web应用程序暴露更多的端点,维护不当的文档、接口描述、版本控制或资产列表可能导致忽略重要的攻击面,并带来不安全因素。
(10)记录和监控不足
日志记录和监控不足导致未报告关键安全事件,也未发送主动警告。此外,缺失或有缺陷的事件响应过程允许网络攻击者继续其活动而不被注意。许多数据违规事件表明,监管不力导致数据泄露违规行为在发生200多天之后才被发现。
应对开放API威胁
为了应对以上讨论的威胁和漏洞,有必要在API的设计和开发阶段采用安全最佳实践。以下是一些需要考虑的基本安全控制措施:
此外,API网关还可以通过向其托管的API提供服务发现、路由、负载均衡、高可用性和可观察性服务,极大地增强API的安全性和稳定性。它允许企业使用SSL/TLS轻松保护所有通信通道,实施速率限制以防止DDoS攻击,并限制客户端请求有效负载和API响应大小。API网关还可以与Web应用程序防火墙(WAF)一起使用,以提供额外的安全层。
结论
正如人们所见,企业可以通过使用开放API构建强大的应用程序来参与API经济。但是,开放API并非没有威胁。以上简要介绍了10种安全威胁以及应对措施。API网关可以促进其中的一些措施,并提供高级管理功能。
win10和ubuntu哪个好
不能简单说哪个好,最近win10进步不小,其powershell功能越来越完善,可用性很高,对于一个开发者来说,使用windows还是很方便的。 如果想让系统长期稳定运行服务程序,还是乖乖的用LINUX好些。
什么是PDM生产管理?
A) 拥有统一的用户界面 无论采用何种技术,PDM软件一般都有一个统一的访问入口,作为用户访问PDM的起点。 这一界面使用户对PDM的访问变得简单透明,而不必考虑要访问对象所处的物理位置以及数据格式。 基于C/S结构的PDM系统的客户端一般是访问PDM的统一入口,而基于C/B/S结构的第三代PDM系统一般都以Web作为统一的用户访问界面。 B) 能够实现应用封装与集成 除个别PDM厂商能够紧密集成(实现PDM和应用软件的互操作)本公司的应用软件外,PDM软件主要是通过封装和接口的方式集成应用系统。 所谓封装,简单的说就是应用工具可以直接从PDM系统中存取相应格式的数据文件,而在PDM系统中可以通过相应格式的文件直接激活应用程序。 所谓接口,则是指PDM系统可以从应用工具产生的特定格式的数据文件中抽取需要的数据,也可以把数据以应用工具理解的格式传递给应用工具。 这两种方式的本质区别在于封装只管理文件,而接口则能够理解文件中的格式化数据。 当前的PDM系统能提供大量的应用接口:与Pro/E、UG等机械领域CAx/DFx工具的接口,与Mentor等电子领域CAx工具的接口,与STEP、工作流标准、电子商务标准等标准的开放式接口,与ERP、EC等异构平台的集成接口,异构PDM间的集成接口等。 目前这些接口主要通过CORBA、COM/DCOM等中间件实现,而初现端倪的XML Web Services技术很可能成为未来异构系统实现接口的一种有效方式。 C) 提供了完善的应用开发方法和工具 当PDM系统提供的功能不能满足用户需求、界面不符合用户习惯、或者没有提供与特定应用软件的接口时,就需要利用PDM系统提供的应用开发工具有针对性地开发,以满足用户的要求。 一般PDM系统都会为用户提供一套完整的OOAD开发方法、工具以及API(应用编程接口),越是开放的PDM系统提供的开发方法和工具越完善、提供的API也越底层,用户的应用开发也越容易。
乐视手机1桌面显示时间的那个挂件没了怎么办??
乐视手机1桌面显示时间的那个挂件没了的设置方法:试试两手指分开放在桌面空白处,同时移动合拢,桌面应该会出现添加选项,选择时间挂件即可。 操作步骤:1、试试两手指分开放在桌面空白处,同时移动合拢。 2、桌面应该会出现添加选项,选择时间挂件即可。 乐视在有了智能电视业务的惊艳表现后推出的智能手机。 乐视手机希望通过隐秘研发减低人们对乐视手机的关注,继续加码生态系统。 同时通过引进有经验的管理层和基层研发人员,力图少走些弯路,提高自己的成功几率。 乐视手机的外观似乎有三星Galaxy Note 3的风格,据说尺寸高达6英寸。 而且还配备了一颗支持光学变焦的伸缩镜头。 除了硬件之外,乐视手机最大的亮点在软件方面,号称支持手势触控、全息投影以及光学充电等功能,任何一项拿出来放在目前的智能手机上都是重磅炸弹,凑在一起之后威力堪称核弹了。 当然,乐视究竟能不能做出这样的手机还是个未知数。 毕竟以目前的技术来看,全息投影、光学充电什么的都还是浮云,手势触控支持也不可能做到这么完美。 2015年4月10日,王思聪在微博曝光乐视手机真机图片,并表示“比锤子手机好看”。 从曝光的照片看,此前乐视宣传的“无边框”可能为“类似无边框”,或因角度问题错把机身侧体当成“边框”。
发表评论