API安全的防禦建設
應用程式程式設計介面(API)是公司企業為客戶增加其產品價值的好辦法。透過將數字資產和服務提供給更廣大的受眾,API已經發展成了核心業務重點,“API經濟”都成了商業行話中的固定片語。 |
API專案中,既管理訪問又保護系統,同時還參與數字生態系統的安全策略十分重要。應用程式主管必須設計、執行並監管有效API安全策略,包括API閘道器的使用。而隨著該領域的發展和業內玩家數量的增加,企業不安全API的採納所帶來的危險也在增多。事實上,到2022年,API濫用將成導致企業Web應用資料洩露最為常見的攻擊方式。
舉個例子,2018年10月,Facebook披露遭遇重大資料洩露,影響5000多萬個賬戶。攻擊者利用了Facebook開發者API收集受影響使用者的資料資訊,包括姓名、性別和家鄉。連Facebook這種首屈一指的大玩家都沒能倖免API安全問題。
API就是通往資料和應用程式的大門,在這裡融入安全與保護Web應用同等重要。
為全面保護API,解決架構、DevOps和生產中的安全需求是重點。軟體開發生命週期(SDLC)中安全評估的拐點取決於開發團隊是在遺留應用中啟用API,還是打造新的API優先應用。雖然評估和緩解的要求大部分相同,團隊還是需要做到:
1. 對API執行動態應用安全測試(DAST),為發現的漏洞建立緩解/修復計劃。 2. 為DevOps過程中的API實現程式碼執行服務元件架構(SCA)和靜態分析安全測試(SAST)分析。 3. 在企業應用架構中使用安全設計模式。一些安全設計模式樣例包括: 自動編碼模板以防止跨站指令碼(XSS)透過模板使用輸出編碼; 採用上下文輸入驗證以防止輸入攻擊; 運用同步令牌防止利用令牌的跨站請求偽造(XSRF)攻擊; 採用變數繫結防止利用物件關係對映器(ORM)的SQL隱碼攻擊; 使用加密外觀以減少密碼漏洞 在SDLC中實現健壯的反饋環,根據各類掃描的發現做出響應。
這些步驟確保API享有完整的安全覆蓋,團隊可以在問題出現前找到並修復漏洞。
你可能會覺得自己已經有了解決API安全問題的管理工具,但擁有該工具還只是實現API安全的第一步。API管理工具提供的安全策略適用於邊界,但對呈上API的業務邏輯安全毫無作用。我們的目標是在軟體生命週期中嵌入應用安全(DAST、SAST和SCA),作為整體API安全策略中的一部分,編寫出安全由內而外的API。
總之,安全評估的結果對沖刺週期中的開發及安全利益相關者來說至關重要,而上述技術可以提升公司API的完整性和採納率。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2375474/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何建設網路安全架構及防禦措施?架構
- 勒索病毒防禦 運維安全管控 | 某菸草公司資料安全建設實踐運維
- DDos防禦體系的構建
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 前端的安全問題與防禦策略前端
- Web安全系列(四):XSS 的防禦Web
- DevOps 團隊如何防禦 API 攻擊devAPI
- 一文帶你瞭解網路安全中的主動防禦與被動防禦!
- 醫共體安全守護養成記(二)丨醫共體縱深防禦體系建設
- 綠盟智慧安全運營解決方案 助力水利“建防禦 抓運營”
- 安全知識圖譜|威脅建模助力企業“建防禦 抓運營”
- 漫說安全|智慧的雲WAF,開掛的Web防禦Web
- 三分鐘帶你瞭解網路安全主動防禦與被動防禦!
- 【技術向】OPC安全風險與防禦
- 醫療資訊化建設實踐丨雲安全賦能智慧醫院構建縱深、主動防禦體系
- AccessibilityService防禦
- DDoS 防禦
- 網易“四位一體”安全防禦體系建設
- 防禦DDoS原理搞明白,防禦效果才能事半功倍
- 前端防禦XSS前端
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- 聚焦DDoS安全,分享防禦DDoS攻擊的幾大有效方法
- 防禦式程式設計之斷言assert的使用程式設計
- 那些年,被設計師玩壞的防禦塔
- 如何防禦DDoS攻擊?學習網路安全多久?
- webgame中常見安全問題、防禦方式與挽救措施WebGAM
- Django 安全性與防禦性程式設計:如何保護 Django Web 應用Django程式設計Web
- 《業務安全白皮書》:頂象防禦雲的應用實踐
- 5個常見的網路安全攻擊手段及防禦方法
- 高防伺服器主要防禦的攻擊伺服器
- AccessibilityService分析與防禦
- CSS 樣式防禦CSS
- 10大網路安全攻擊手段及防禦方法(二)!
- 如何防禦DDOS攻擊?網路安全技術學多久?
- 如何有效防禦XSS攻擊?網路安全學習教程
- 開放API閘道器實踐(二) —— 重放攻擊及防禦API
- 你的郵件安全嗎? 電子郵件威脅與防禦剖析