我们分享的“API业务异常侦测”中,我们通过Imperva API业务异常侦测解决方案自动化形成API业务基线(同时可导出Swagger文件),基于基线我们可以针对业务进行异常检测;同时作为API安全防护的闭环措施,安全团队可以把业务异常侦测解决方案中基于Catalog Report生成的Swagger文件,作为安全基准导入到Imperva WAF设备,形成API应用白名单,利用WAF的防护特性对API应用进行安全防护
Imperva – SDK是一个用于Python的Imperva WAF Open API SDK,它允许Python开发人员编写与Imerva管理平台 通信的软件,通过imperva-sdk,用户可以管理和配置MX,包括以JSON文件的方式倒入,进行配置
●Imperva WAF Open API SDK参考:
https://imperva.github.io/imperva-sdk-python/index.html
● 把Swagger文件倒入WAF的代码参考:
https://imperva.github.io/imperva-sdk-python/examples.html
●通过SDK倒入与业务同事核对过的Swagger文件,作为API的防护Policy,准确性高,不需要WAF再进行学习,马上可以进行防护阻拦,提高了安全性
●通过SDK实现Swagger文件的倒入形成防护Policy,可以与API业务CI/CD流程结合,实现业务的全自动化发布,适应API业务的快速变化
通过使用DDoS攻击关键应用API,造成了三分之一的网络陷入瘫痪。
对于部分API而言,一旦遇到DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。
DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。
Imperva WAF通过有效使用速率限制、恶意IP封杀等策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。
Imperva WAF的速率限制的维度有多种选择,而且与其他判断条件一起进行组合,提供足够的灵活性。
Imperva WAF的ThreatRadar是Imperva的威胁情报,实施对各种恶意IP的识别和封堵,减少DDoS的风险,对API 应用进行保护。
Web API是现代Web和移动应用程序的支柱,Imperva WAF用自动的积极安全模型保护你的API,检测应用程序中的漏洞,防止它们被利用。
A1 – 失效的对象级授权
攻击者通过尝试攻击对象级别授权的API接口,来获得未经授权的数据,比如通过可预测订单ID值来查询所有订单信息。
Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、Session cookie保护、防护Session hijacking、User tracking、GEOIP等技术实现部分的防护覆盖;
A2 – 失效的用户认证
开发者对API身份认证机制设计存在缺陷或无保护设计,导致身份认证机制无效,比如弱密码、无锁定机制而被暴露破解等。
Imperva WAF通过积极的安全模型Application profile、Session cookie保护、防护Session hijacking、User tracking、威胁情报、GEOIP等技术实现部分的防护覆盖;
A4 – 缺乏资源和速率控制
未对API做资源和速率限制或保护不足,导致被攻击。比如用户信息接口未做频次限制导致所有用户数据被盗。
Imperva WAF通过威胁情报、http请求限速、被动的安全模型Signatures、GEOIP等技术实现比较全的防护覆盖
A5 – 失效的功能级授权
如通过修改HTTP方法,从GET改成DELETE便能访问一些非授权的API。
Imperva WAF 通过积极的安全模型Application profile实现部分防护覆盖
A6 – 批量分配
也就是本来应该只能是能够看某个人的某条信息,但结果我直接用了一个 users ,我没做任何授权,就把所有人的用户都返回回去了。
Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖
A7 – 安全性配置错误
系统配置错误导致API的不安全,比如传输层没有使用TLS导致中间人劫持;异常堆栈信息未处理直接抛给调用端导致敏感信息泄露。
Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖
A8 – 注入
与OWASP Web安全注入类型相似,主要指SQL注入、NoSQL注入、命令行注入、XML注入等
Imperva WAF通过SQL 注入关联引擎、积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖
A9 – 资产管理不当
对于API资产的管理不清,比如测试环境的、已过期的、低版本的、未升级补丁的、影子API等接口暴露,从管理上没有梳理清楚,导致被黑客攻击。
Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、威胁情报、GEOIP等技术实现比较全的覆盖
A10 – 日志记录和监控不足
缺失有效的监控和日志审计手段,导致被黑客攻击时缺少告警、提醒,未能及时阻断
Imperva WAF通过事件日志、SIEM集成、攻击分析、Dashboard等技术实现比较全的覆盖
●END●
欢迎联系 Imperva 了解更多信息
电话:+86 10 8587 2372
原文始发于微信公众号(IMPERVA):API安全应用场景系列之三:API业务防护