最常見的API漏洞

lucywang
API是主要目標(biāo),因?yàn)槭褂孟鄬?duì)簡(jiǎn)單的過程可以造成很大的損害。因此,那些構(gòu)建和使用API的人需要采取必要的預(yù)防措施,以確保他們和他們的客戶的信息不會(huì)受到上述常見API漏洞的威脅。

11.png

應(yīng)用程序編程接口(API)為開發(fā)人員和網(wǎng)站所有者提供現(xiàn)有應(yīng)用程序的源代碼,這些源代碼可以根據(jù)他們(開發(fā)人員)的特定需求進(jìn)行重新定位,并集成到現(xiàn)有業(yè)務(wù)和網(wǎng)站功能中,以改善用戶體驗(yàn)。

簡(jiǎn)而言之,API已經(jīng)成為在線業(yè)務(wù)的基本要素,而任何基本要素很快就會(huì)成為惡意攻擊者的攻擊目標(biāo)。

如果你是一名開發(fā)人員,或者你正在站點(diǎn)上的各種應(yīng)用程序中使用API,下面是一些最常見的API漏洞,它們是如何被鎖定的,以及你可以做些什么來(lái)幫助緩解它們的潛在危害。

代碼注入

對(duì)于攻擊者來(lái)說,使用代碼注入是最常用的命令A(yù)PI的方法,可以讓它執(zhí)行你或你的客戶不希望他們做的所有事情。最常見的代碼注入包括SQL,XML,RegEx和API,它們向應(yīng)用程序發(fā)送命令以執(zhí)行諸如共享敏感的用戶數(shù)據(jù)、密碼和其他身份驗(yàn)證信息之類的操作,并在設(shè)備上植入惡意軟件和間諜軟件。

22.png

InMotion Hosting

InMotionHosting是成立于2001年的美國(guó)虛擬主機(jī)商,InMotionHosting是美國(guó)最好的針對(duì)中小型客戶和電子商務(wù)網(wǎng)站的主機(jī)空間服務(wù)商之一。

確保API不受代碼注入影響的最佳方法之一是執(zhí)行手動(dòng)測(cè)試,特別是密集的查詢檢查,以確定是否有惡意的人會(huì)將惡意代碼插入應(yīng)用程序,以及如何插入。

33.png

重復(fù)請(qǐng)求攻擊

此漏洞適用于那些允許攻擊者重復(fù)請(qǐng)求的API,當(dāng)識(shí)別和拒絕第一個(gè)不值得信任的請(qǐng)求后,API沒有被設(shè)計(jì)成禁止未來(lái)的請(qǐng)求時(shí),就會(huì)發(fā)生這種情況。

對(duì)API的設(shè)計(jì)通常是這樣的:雖然它們能夠成功地拒絕最初的可疑請(qǐng)求,但它們不會(huì)阻止同一惡意行為者繼續(xù)發(fā)出不同的請(qǐng)求。

44.jpeg

這些類型的暴力攻擊通常用于探測(cè)漏洞,并且可以通過在策略上設(shè)置速率限制,使用HMAC身份驗(yàn)證,使用多因素身份驗(yàn)證或使用壽命較短的OAuth訪問令牌來(lái)加以防范。

請(qǐng)求偽造攻擊

當(dāng)黑客試圖使用經(jīng)過身份驗(yàn)證的web應(yīng)用程序(如API)進(jìn)行更改電子郵件地址或從一個(gè)銀行賬戶向另一個(gè)銀行賬戶匯款等操作時(shí),就會(huì)發(fā)生請(qǐng)求偽造攻擊或跨站點(diǎn)請(qǐng)求偽造攻擊。這些攻擊已經(jīng)流行多年,并威脅了一些最大的互聯(lián)網(wǎng)網(wǎng)站。

55.jpeg

針對(duì)跨站點(diǎn)請(qǐng)求偽造的API最常見的方法是使用服務(wù)器生成的令牌,這些令牌作為“隱藏字段”放置在HTML代碼中。每次發(fā)出請(qǐng)求時(shí),這些都返回給服務(wù)器,以便服務(wù)器能夠確定源是否經(jīng)過身份驗(yàn)證,因此是可信的。隨著越來(lái)越多的金融交易繼續(xù)發(fā)生在網(wǎng)上,跨站點(diǎn)請(qǐng)求偽造攻擊的風(fēng)險(xiǎn)也在增加。

受攻擊的用戶身份驗(yàn)證

API及其創(chuàng)建者并不總是能夠確保身份驗(yàn)證機(jī)制正常運(yùn)行或創(chuàng)建不正確,從而使API極易受到攻擊。錯(cuò)誤的身份驗(yàn)證機(jī)制允許黑客偽裝成已認(rèn)證用戶的身份,然后他們可以造成各種各樣的破壞。有時(shí),所使用的身份驗(yàn)證系統(tǒng)不是很可靠,并且會(huì)意外泄露API密鑰。

除OAuth外,加強(qiáng)身份驗(yàn)證過程的一種好方法是考慮使用時(shí)間戳記請(qǐng)求??梢詫⑵渥鳛樽远xHTTP標(biāo)頭添加到任何API請(qǐng)求中,從而強(qiáng)制服務(wù)器比較當(dāng)前時(shí)間戳和請(qǐng)求時(shí)間戳。僅當(dāng)服務(wù)器得出兩個(gè)時(shí)間戳都在幾分鐘之內(nèi)的結(jié)論時(shí),身份驗(yàn)證才有效。

總結(jié)

API是主要目標(biāo),因?yàn)槭褂孟鄬?duì)簡(jiǎn)單的過程可以造成很大的損害。因此,那些構(gòu)建和使用API的人需要采取必要的預(yù)防措施,以確保他們和他們的客戶的信息不會(huì)受到上述常見API漏洞的威脅。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門