黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 16:43:00

网络安全—如何预防常见的API漏洞

随着互联网的全面发展,API这个词经常出现在每个人的视线中,什么是API呢?API全称Application Programming Interface,翻译叫“应用程序接口”,(如函数,HTTP接口),或指软件系统不同组件之间的连接协议。 用于提供一组基于软件或硬件的应用程序和开发人员访问的例程,而无需访问源代码或了解内部工作机制的细节。

如今,API 已成为今天APP经济粘合剂,在Web 2.0在浪潮到来之前,它是开放的API 甚至源代码主要体现在桌面应用上,越来越多Web应用程序向开发者开放API,它也成为黑客攻击的头号目标。

API操作模式及URL操作模式大致相同,用户使用Web搜索时,页面展示结果是动态的,以手机银行应用程序为例,API它也以类似的方式运行,它可以获得用户的地理位置、姓名、账户和账户余额,并相应地填写交互页面中的字段,但因为API包括所有安全检查,通常直接与后端服务通信,因此更容易受到攻击者的青睐。

应用程序安全一直存在一个问题:输入验证。如果没有适当的功能和安全测试,API可能是完美的攻击点。API在应用程序的信任下,可以进行高速、海量的数据交换。

通过对大量应用安全市场客户的调查,并参考开放Web 应用程序安全项目(OWASP) 后,调查人员汇总了以下三类最常见的API漏洞:

一是资产管理不当

此API缺陷是环境隔离和管理不足的结果,允许攻击者访问缺乏安全性API在之前的网络安全事件中,由于开发人员的原因API无需编辑即可访问生产数据,然后暴露客户系统。这类漏洞还包括未监控开发API敏感数据和已弃用的数据API仍处于在线或公开状态。

二是受损对象级别授权Broken Object Level Authorization (BOLA)

BOLA流行的定义是对对象访问请求的验证不足,允许攻击者重用访问令牌进行未经授权的操作。Peloton最近发生了很多事件BOLA利用一个著名的案例,攻击者可以查看几乎所有用户的个人信息,包括标有私人事件的个人信息。这种攻击可能会影响每个业务组,从开发到运营,再到营销和公共关系。

第三:无效用户身份验证

这类漏洞的准确定义是“缺陷在身份验证机制中的实施”,允许攻击者冒充合法用户。这里有两种常见的漏洞使用类型:第一种是由自动化机器人执行的凭证填写的。找用户身份验证的缺陷API这是自动攻击的理想目标。这个漏洞的更复杂用途是侦察来确定API例如,我们输入“a@a.com /”应用程序显示密码用户名/密码组合“密码无效”,然后攻击者就会知道用户名是有效的。攻击者将使用此数据点来增加成功填充凭证(或其他类型的攻击)的机会。

API 缺陷影响整个企业,而不仅仅是运维团队、安全团队或业务团队,指出问题永远无法修复,修复始于合作,那么如何防止呢?api恶意调用或攻击接口

1. 图形验证码:

绑定图形验证码和手机验证码。用户输入手机号码后,需要成功输入图形验证码才能触发短信验证,可以有效防止恶意攻击。目前,大多数应用程序都采用这种方法。

2.限定请求次数:

相同的限制在服务器端IP地址,同一设备,同一时间范围内的接口请求次数。例如,同一号码重复发送的时间间隔一般为60或120秒;设置每个IP每日最大发送量;每日最大发送量设置单个手机号码。

3.限制 工艺条件:

将手机短信验证放在最后,如用户需要注册,或者不需要填写短信验证的某些条件。

4. 归属地是否一致:

检查用户的服务器端IP如果不匹配,则提示用户手动操作。

5. 服务器接口验证:

当用户成功登录时,返回一个由Token签名生成的秘钥信息(Token可使用base64编码和md5加密可以放在请求中Header中间),然后每次后续请求Token包装生成,服务器端在验证是否一致时判断请求是否通过。

(1) 常规方法:用户登录后生成token,返回客户端,然后使用服务器AOP拦截controller方法,校验token的有效性,每次token是一样的;

(2) 用户登录后临时生成token,将其存储到服务器中,并返回客户端。客户端下次请求时会这样做token传输到服务器进行验证token是否有效,有效的登录成功,生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。 这种方法有性能问题,但也有一个漏洞,如果用户在一次请求后,还未进行下一次请求就已被黑客拦截到登录信息并进行假冒登录,他一样可以登录成功并使用户强制下线,但这种方法已大大减少被假冒登录的机会。

(3) 两层token:一般来说,第一次使用帐户密码登录服务器个token,时效长短不同,短时效过后,发送时效长token重新获得短时效,如果都过期了,就需要重新登录。当然,更复杂的是,你也可以做三层token,根据业务点的不同token。

6. 采用https:

线上的api接口开启https访问,这样做的话别人抓包的难度会提高很多,而且https需要密钥交换,可以在一定程度上识别是否是伪造的网络非真人IP地址。

7. 服务器端代理请求:

对于网站来说,这也是解决跨域问题的方案之一,使用服务器代理可以有效地防止接口真实地址的暴露。

近年来,网络安全起着重要API安全事件层出不穷。因此,无论是企业用户还是个人用户,我们都必须理解API漏洞及相关风险,便于最及时的安全防护!

   

标签:API 漏洞 网络安全 

作者:访客 , 分类:网络钓鱼 , 浏览:583 , 评论:3

  • 评论列表:
  •  掩吻颇倔
     发布于 2022-06-06 00:14:46  回复该评论
  • oken的有效性,每次token是一样的;(2) 用户登录后临时生成token,将其存储到服务器中,并返回客户端。客户端下次请求时会这样做token传输到服务器进行验证token是否有效,有效的登录成功,生成新的token返回给客
  •  末屿淤浪
     发布于 2022-06-06 02:27:25  回复该评论
  • 理不足的结果,允许攻击者访问缺乏安全性API在之前的网络安全事件中,由于开发人员的原因API无需编辑即可访问生产数据,然后暴露客户系统。这类漏洞还包括未监控开发API敏感数据和已弃用的数据API仍处于在线或公开状态。二是受损对象级别
  •  礼忱拥欲
     发布于 2022-06-06 02:33:28  回复该评论
  • 击者就会知道用户名是有效的。攻击者将使用此数据点来增加成功填充凭证(或其他类型的攻击)的机会。API 缺陷影响整个企业,而不仅仅是运维团队、安全团队或业务团队,指出问题永远无法修复,修复始于合作,那么如何防止呢

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.