從應用安全到程式碼安全 確保軟體安全不能忽視檢測API漏洞!
經過 20 多年的發展,現在API無處不在。在2021年的一項調查中,73%的企業表示他們已經發布50多個API,並且這個數字還在不斷增長。
在當今API幾乎在每個行業中都發揮著至關重要的作用,並且隨著它們走向業務前沿,重要性正在穩步增加,透過API帶來業務協同和更高的效率。
但是,API就像軟體的任何其他元件一樣存在漏洞。除此之外,如果它們沒有從安全形度進行嚴格測試,還會引入一系列全新的攻擊面,並使您面臨前所未有的風險。如果您等到生產環境才發現API漏洞,則可能會導致大量延遲。
API 對攻擊者具有吸引力,而不僅僅是企業
API不僅是連線應用程式,而且它們以不可預測的方式改變了功能。API可能引入許多為駭客所熟知的獨特弱點,他們開發了不同的方法來攻擊您的API以訪問底層資料和功能。
根據OWASP API Top 10,合法的、經過身份驗證的使用者透過利用看似合法但實際上旨在操縱API的呼叫利用API的情況並不少見。這種旨在操縱業務邏輯和利用設計缺陷的攻擊對攻擊者很有吸引力。
每個API都是獨一無二且專有的。因此,它的軟體錯誤和漏洞也是獨一無二的,也是“未知的”。在業務邏輯或業務流程級別識別導致攻擊的錯誤型別尤其具有挑戰性。
您是否對API安全性測試給予足夠的重視?
相信很多公司已經逐漸開始實現安全左移,並開始在整個開發過程中進行持續的安全測試。然而API安全測試經常在沒有充分了解所涉及的風險的情況下進行。這是為什麼?
原因不止一個:
1. 現有應用安全測試工具通用性強,針對傳統Web應用漏洞,無法有效處理API複雜的業務邏輯。
2. 由於API沒有UI,因此公司通常會分別測試Web、應用程式和移動裝置,而不是API本身。
3. 測試API可能需要大量手動操作,並且在擁有數百個API時不可擴充套件。
4. 相關經驗和專業知識不足,因為API測試比其他型別的測試更復雜。
5. 對於遺留API,可能不瞭解已實現的API或文件。
因此,雖然通常許多企業已經重視左移安全性,但API安全性測試往往被排除在 DevSecOps大局之外。
這樣帶來的後果很嚴重,因為API 漏洞需要比傳統應用程式漏洞更長的時間來修復。在最近的一項調查中,63%的受訪者表示修復API漏洞需要更長的時間。鑑於應用程式對 API的快速採用和依賴,這個數字也可能會上升。
雖然大多數安全領導者都意識到API安全測試的重要性,但只有不到一半的人表示他們還沒有將API安全測試解決方案完全整合到他們的開發管道中。
為什麼常見的安全測試方法無法覆蓋API?
作為全面檢測安全的第一步,最重要的是檢查當今對應用程式安全測試最常見的方式:靜態程式碼安全測試和動態安全測試。
靜態程式碼安全測試採用白盒方法,透過審查設計、架構或程式碼,包括資料在透過應用程式時可能採用的許多複雜路徑,基於應用程式的已知功能建立測試。
動態安全測試採用黑盒方法,在給定一組特定輸入的情況下,根據應用程式的預期效能建立測試,不需要內部處理或底層程式碼知識。
透過兩者結合使用,可以有效查詢API中存在的安全漏洞和執行時有針對性攻擊的問題。
越來越多的行業意識到需要在API的整個生命週期內保護它們,將API放在安全控制的前沿和中心位置。
為此,需要在開發週期內整合和執行API安全測試標準。這樣,連同執行時監控,安全團隊可以提前解所有已知漏洞。同時,採取措施進行左移API安全測試將降低成本並加快修復時間。
此外,一旦您的測試工作流程自動化,將在保證敏捷開發的同時確保安全開發:測試、修復、重新測試和部署的迴圈,使管道平穩執行並完全避免瓶頸。
API安全測試的業務邏輯方法可以提升開發全生命週期API安全計劃的成熟度,並改善安全狀況。
除了應用越來越廣泛之外,API還為Web應用程式創造了更大的漏洞。許多企業甚至不知道他們的API和漏洞程度。駭客可以透過可用的API輕鬆探測已知和未知的安全漏洞。
然而,API安全測試經常被忽視,並且與Web應用程式一樣處理。因此在進行靜態程式碼安全檢測和動態應用安全測試的同時,也要加API安全列入其中。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2783488/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 確保應用程式安全性
- web應用存在的10大安全問題,安全測試不容忽視!Web
- 確保Web應用程式安全應該考慮哪些事項Web
- 軟體測試——軟體安全質量的保證
- web應用安全測試之業務漏洞Web
- 軟體測試與程式碼安全詳解
- 如何檢測手機惡意應用?整合華為應用安全檢測,提升App使用安全APP
- 從應用開發到營收 10個不能忽視的細節營收
- 安全攻略:十招準確檢測出間諜軟體(轉)
- 360安全衛士檢視被拒絕安裝軟體教程
- 海雲安應用安全測試、移動應用安全、開發安全再次上榜
- AbsInt — 確保程式碼安全的靜態效能分析工具
- CodeArts如何保證客戶程式碼和應用安全?
- 滲透測試網站安全漏洞檢測大體方法網站
- 網站滲透測試安全檢測漏洞網站
- 軟體為什麼要進行安全測試?可做安全測試的軟體檢測公司安利
- 直指要害用技術確保網站密碼安全網站密碼
- 使用OWASPTopTen保證Web應用程式的安全Web
- 安全編碼為應用軟體增加免疫力
- 從核心安全到全面安全 ,中孚資訊下了多大的決心?
- 程式碼安全 兩種程式碼漏洞
- 初級安全入門——安全漏洞的檢測與利用
- 人工智慧技術在軟體安全漏洞檢測領域有哪些作用人工智慧
- 軟體測試手記:切莫忽視效能測試
- 靜態應用程式安全測試
- 程式碼安全測試第十一期:記憶體洩漏漏洞記憶體
- 三位一體的漏洞分析方法-web應用安全測試方法Web
- 網際網路金融漏洞頻發技術安全不容忽視
- [雲安全技術和產品專區 ]如何手動檢測系統軟體漏洞
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 軟體安全性:採用安全的編碼方式(轉)
- 確保web安全的HTTPSWebHTTP
- PackageDNA檢測目標軟體包的安全性Package
- 程式碼安全測試第十二期:LDAP注入漏洞LDA
- 開源軟體安全任重道遠!80%的軟體程式碼庫包含至少一個漏洞
- 保證應用程式中私有物件安全技術(轉)物件
- 2019年APP安全漏洞檢測安全工具報告APP