技术主题
什么是 API 安全?
概述
API(应用程序编程接口)是数字化转型战略的关键组成部分,而确保这些 API 的安全则是一项首要挑战。API 是一个快速增长的攻击面,但并没有得到广泛的理解,可能会被开发人员和应用安全管理人员忽视。
应用程序接口安全
请听的介绍:"API 是现代移动、SaaS 和网络应用程序的重要组成部分,可在面向客户、合作伙伴和内部应用程序中找到。从本质上讲,API 暴露了应用程序逻辑和敏感数据,如个人身份信息 (PII),因此日益成为攻击者的目标。没有安全的 API,就不可能实现快速创新。
基于应用程序接口的应用程序有何不同?
同样来自 OWASP:
- 服务器更多地被用作数据的代理。
- 渲染组件是客户端,而不是服务器。
- 客户端消耗原始数据。
- 应用程序接口揭示了应用程序的底层实现。
- 用户状态通常由客户端维护和监控。
- 每个 HTTP 请求都会发送更多参数(对象 ID、过滤器)。
API 安全与一般应用程序安全有何不同?
应用程序接口》侧重于减轻应用程序接口独特安全风险的策略。传统的漏洞在基于 API 的应用程序中并不常见:
- SQLi - 越来越多地使用 ORM。
- CSRF - 以授权标头代替 cookie。
- 路径操作 - 基于云的存储。
- 经典 IT 安全问题 - SaaS。
API 安全性为何重要?
API 安全非常重要,因为公司使用 API 连接服务和传输数据,因此 API 被黑客攻击可能导致数据泄露。
应用程序接口使用率持续上升
2021 年 12 月,Cloudflare 报告称,攻击者已经注意到这一点,并加大了对 API 的关注。
API 安全测试是安全核心功能的一部分。
API 已成为现代应用程序(如单页面或移动应用程序)的重要组成部分,但传统的 AST 工具集可能无法对其进行全面测试,因此需要专门的工具和功能。在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持对运行中的 API 进行测试的能力,都是典型的功能。
什么是 OWASP API 安全 10 强?
OWASP 最近公布了 API 安全十大候选发布版本。了解有关的更多信息。以下是十大安全项目:
- API1 - 受破坏的对象级授权
- 应用程序接口2- 用户身份验证被破坏
- API3 - 数据暴露过多
- API4 - 缺乏资源和速率限制
- API5 - 功能级授权被破坏
- API6 - 批量分配
- API7 - 安全配置错误
- API8 - 注射
- API9 - 资产管理不当
- API10 - 记录和监控不足
Fortify 有助于提高应用程序接口的安全性
- 攻击面覆盖范围- 在测试过程中自动发现新的和影子 API 端点,并通过 OpenAPI、Swagger、Odata 或 WSDL 架构识别端点的范围。
- API 身份验证 - API 身份验证多种多样,非常复杂。Fortify 支持几乎所有类型的承载令牌和实现方式。
- 漏洞检测- 不断扩大 API 特定漏洞的覆盖范围,这些漏洞会影响不记名令牌或 GraphQL 自省等领域。
- 扫描自动化--通过 SaaS、托管或预置交付的公司级协调功能扩展 API 测试。
应用程序接口安全
立即开始
