欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• 一项关于API的新研究——揭示了API为何频繁地用于帐户接管
• 一本关于黑客API的新书
• 关于使用Postman进行OAuth 2.0授权代码授予的文章
• 关于记录API的指南
API频繁用于帐户接管
Security Boulevard的一项新研究揭示了API为何越来越受到开发者的青睐:API正在成为开发工具的首选,数据表明,在被分析的211亿应用程序请求中,近70%是基于API的。
不幸的是,API也是敌人最喜欢的攻击载体:相应的,数据表明80%被阻止的攻击都是针对API的,研究显示使用登录API的账户接管(ATO)增加了62%。最值得注意的是,攻击越来越多地集中在帐户登录和注册上。常见的例子是针对礼品卡网站的攻击,例如盗取卡和积分,以及针对贷款网站的半自动大规模攻击。
该报告还显示,基于API的内容抓取增加了178%。尽管大规模内容抓取看起来是良性的,但它可能会给拥有这些数据的组织的造成收入损失。数据抓取的典型例子包括库存定价、库存水平、市场数据和社交媒体数据。
本文中一个有趣的发现是,文档良好的和可发现的API(通过OpenAPI定义或GraphQL端点)实际上可以促进攻击。攻击者不再需要枚举API端点,而是可以轻松地利用定义。然而,这并不一定意味着API不应该被记录,但是可能需要考虑预期的(和非预期的)受众以及如何正确地交互。
完善API安全的一些建议:
• API发现和清单跟踪:确保组织维护了一个准确的API清单,避免暴露不必要的攻击面,确保所有API都有指定的所有者。
• API风险评估和补救:评估API的常见弱点,并实施漏洞修复或缓解措施。
• 针对攻击和漏洞利用的本机内联保护:通过利用API防火墙和网关进行内联保护,使用深度防御方法。
Corey Ball撰写的“Hacking APIs”
最近,我一直在阅读Corey Ball的“Hacking APIs”,现在可从NoStarch Press获得早期访问表格。我笃定这本书注定会成为未来几年API安全爱好者的行业手册,在此我把它推荐给大家,无论是否有经验都可以一看。
这本书主要从渗透测试员的角度出发,涵盖了多个主题,但在已验证的知识上做了很少的假设。我学到了很多关于API发现、bug奖励程序和披露的知识。关于如何规避标准控制和对策的章节特别有趣——对于防守者来说,这应该证明是相当有启发性!
个人层面上,我发现自己受到了更多API实践的启发。
使用Postman授予OAuth 2.0授权代码
继上周介绍的API身份验证和授权的流行最佳实践之后,这周我们来看一个关于如何使用Postman实现OAuth 2.0授权代码授予流程的快速指南。
本指南描述了如何使用Postman作为客户端来获取授权代码,以及如何使用该代码来获取访问和刷新令牌。在本例中,流行的Keycloak服务器充当授权服务器。
这是一个十分优秀的指南,可以帮助开发人员以非常实际的方式理解这个重要的OAuth 2.0流程,期待在下一篇文章中描述该流程的PKCE扩展。
API文档的全面指南
良好的API文档对于最终用户使用下游API至关重要。文档完备的API还支持有效的安全实现:例如,说明性代码示例和相关文档可以指导最终用户正确地实现身份验证工作流。
我经常参考Tom Johnson关于各种API文档主题的优秀而全面的指南。这对编写或记录API的人来说值得收藏。
点击文末左下角“阅读原文”查看该文章的全部内容
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 揭秘API为何频繁地用于帐户接管?