API 和 Web 服务

应用程序 Web 安全:API 成为攻击向量

通过网络安全保障安全的应用程序编程接口

如何修补与 API 相关的数据安全漏洞

目前,超过 80% 的 Web 攻击都与应用程序编程接口 (API) 有关,给所有公司或政府机构带来了更大的风险。Gartner 预计,到 2022 年 API 滥用将成为企业 Web 应用程序中最常见的安全漏洞攻击。开放式 Web 应用程序安全项目 (OWASP) 近期公布了十大 API 安全威胁。OWASP 以公布十大应用程序 Web 安全风险而广为人知,现在进一步涉猎 API 安全风险问题。

API 在很早以前便已出现,但近年来用例数量急剧增加。API 日益普及,正在改变互联网上的数据交换方式。机器对机器通信早已超越人和网页之间的数据通信。API 支持多种组件和系统之间的互操作性。API 以拼拼图的方式连接机器和软件。应用程序 API 是微服务、单页应用程序 (SPA)、移动应用程序和物联网 (IoT) 等所有应用程序架构的组成部分。

我们预计 API 开发趋势将不断延续,同时应用程序 Web 安全漏洞也将继续升级。这些安全漏洞将变得愈加常见且极为复杂,导致 API 相关安全问题将变得比以往更加重要。相较于网页或 Web 应用程序,API 更易于访问应用逻辑并提供更多信息(包括敏感数据)。

应用程序 API——对黑客尤有吸引力

应用程序 API 允许第三方访问,因此是进行攻击和泄露数据的必要切入点。API 能够轻松传输大量数据,因此对黑客而言极具吸引力。如果您不考虑应用程序 Web 安全问题,黑客将能够访问並通过不安全的接口破坏大量应用程序。API 能够显示服务器上的后端数据资源、后端架构甚至后端应用程序,具体视开发人员使用的 API 编程方式而定。通过敏捷方法快速开发产品,使得 API 生命周期管理比以前更加复杂。IT 管理员必须管理越来越多的 API。这些 API 变化频繁且协同运行(有时难以察觉这一点)。尽管适用于 API 的生命周期管理方法愈加成熟精细,但开发人员并未严格采用这些方法,或仅将其用于新 API。此外,开发人员无暇彻底保障 API 安全。

应用程序 Web 安全解决方案的优势

  • 识别资产、确定漏洞优先级并分配补救任务
  • 无缝保护机器对机器 (M2M) 通信
  • 验证 Web 服务代理的身份、实施消息签名并加密流量
  • 保护自动化数据流
  • 集中控制所有 Web 应用程序和服务通信
  • Web 服务路由和认证服务
  • 持续监控协作应用程序,加强控制

如果您有任何问题,请与我们联系。

应用程序 Web 安全:Web 应用程序防火墙作为关键检查点

应用程序 API 是“安全链中最薄弱的一环”,传统的应用程序安全机制无法继续为 API 提供充分的保护。您必须在整个 API 开发周期中考虑重要的 API 安全问题。API 防护应融合其他安全措施,形成一个综合全面的 Web 应用程序安全概念和严格的风险评估方法概念。

如果 API 开放用于互联网,为保证连贯一致的应用程序 Web 安全,您需要考虑所有易受攻击的层面。您需要采用一致的防护方法:

  • 您应授权哪一项传输协议?
  • 您应管理哪一个数据流?
  • 您可以采用哪一种认证方法来确保仅授权人员可以访问数据?

您可以阅读我们的白皮书以了解更多相关信息:

Web 应用程序防火墙保障 API 安全

Web 应用程序防火墙 (WAF) 能够很好地平衡安全措施和可用性,并且目标明确,旨在防止恶意流量流向后端或 API 网关等其他设备,因此是用于确保 API 安全的最佳解决方案。WAF 需能够主动阻止复杂的 API 攻击。但是,WAF 并不取代应用程序框架中的授权机制,开发人员也仍须承担相应职责,继续处理 API 安全事宜。

"据用户称,目前 WAF 在以下方面最具成效:抵御分布式拒绝服务 (DDoS) 攻击 (64%)、保障域名服务器 (DNS) 安全 (61%)、保护应用程序中的漏洞 (55%) 和检测异常问题 (54%)。"
Ponemon 研究

保护云环境中的 API

 R&S®Cloud Protector

最常见的 API 威胁

API 文档通常会显示实现和内部结构。这会被用于网络攻击。认证机制安全性低、无加密处理和终端不安全等其他漏洞导致 API 易受攻击。

五大 API 威胁

  • 失效的对象级授权
  • 失效的认证
  • 过度的数据暴露
  • 资源缺失和速率限制
  • 失效的功能级授权

中间人攻击

发动中间人 (MITM) 攻击的攻击者会秘密攻击通信(包括双方的 API 消息)以获取敏感信息。例如,攻击者会抓取 API 在 HTTP 报头和用户浏览器中交换的会话令牌。如果攻击者获取会话令牌,则能够访问用户帐户,进而获取信用卡信息或登录详情等个人信息。

DDoS 攻击

受到 DDoS 攻击时,目标系统(通常是一个或多个 Web 服务器)会被多个系统/机器人程序“淹没”。针对 Web API 的 DDoS 攻击试图通过并发连接淹没 API 或在每个请求中发送/检索大量信息,以使 API 的内存和容量过载。API 通常可以检测并阻止单一来源发送的过多流量,但无法抵御从多个位置发送的大量请求。进行 DDoS 攻击的黑客一般会同时从多个系统和设备发动攻击。

如果您有任何问题,请与我们联系。

应用程序 Web 安全专题内容

网络研讨会

保障和实现公共云中的网络安全和数据保护。观看本网络研讨会,详细了解云环境中的一般安全和治理挑战,并探索如何以结构化方式应对挑战。

現在註冊

网络研讨会:API 安全风险

在本网络研讨会中,我们将介绍 10 种重要的 API 安全风险和相关防护方案。

現在註冊

白皮书:如何保护 API

阅读本白皮书,了解如何利用 R&S®Web Application Firewall 保护 API。

現在註冊

有效保护 Web 应用程序和网站

在本电子书中,您将详细了解一种新方法来确保云中 Web 应用程序的安全性、可靠性和数据保护。

現在註冊

常见问题
为什么 Web 应用程序的安全非常重要?

应用程序 Web 安全非常重要,因为网络罪犯使用的攻击方法蓄意利用 Web 应用程序软件自身的潜在漏洞,因此无法被网络防火墙或入侵防御系统 (IPS) 等传统的 IT 安全系统识别。简单的网络防火墙只能阻止或允许特定的 TCP 或 UDP 端口。这无法识别和主动阻止利用超文本传输协议 (HTTP/HTTPS) 的应用层攻击。即使是下一代防火墙产品也不足以充分保障安全。防火墙通常不用作反向代理,因此无法识别和阻止所有专门针对可通过 Web 浏览器访问的应用程序的攻击。

保护 Web 应用程序的策略有哪些?

以下是一些用于增强应用程序 Web 安全的建议:

  • 请专家“攻击”您的 Web 应用程序
  • 关注探讨 Web 应用程序安全的博客
  • 定期更新
  • 做好备份(包括离线备份!)
  • 关注安全和可用性
  • 始终进行 SSL (HTTPS) 加密
  • 经常扫描网站以查找漏洞
  • 开始使用 Web 应用程序防火墙
应用程序 API 或 Web 应用程序受到攻击时怎么办?

应用程序 API 或 Web 应用程序受到攻击时,可以采用以下 10 项建议:

  • 通知应用程序所有者
  • 将攻击事件告知安全人员或安全事件响应小组 (SIRT)
  • 从网络中移除受影响的服务器
  • 尝试使用备份或备用系统替代受影响的系统
  • 检查所有服务是否异常和当前运行状态
  • 成立工作组以更加深入地调查事件
  • 如可能,与其他 IT 安全专家和顾问合作
  • 开展鉴定性数据分析
  • 评估系统和网络协议
  • 检测到问题后,必须消除已发现的漏洞
每月网络安全最新动态

每月网络安全最新动态

Contact Us

如果您有任何疑问或需要了解更多信息,请填写此表格,我们会尽快回复您。

推广许可

我同意通过以下方式接收罗德与施瓦茨提供的信息:

这意味着什么?

我同意,在网站Imprint中提到的Rohde & Schwarz GmbH & Co. KG和罗德与施瓦茨实体及分支机构 可出于营销和广告之目的(例如提供特价优惠和折扣促销信息)而通过选定渠道(电子邮件或邮政信件)与我联系并提供相关信息,包括但不限于测试与测量、安全通信、监测与网络测试、广播电视与媒体以及网络安全领域的产品和解决方案相关信息

您的权利

您可以随时发送电子邮件至 news@rohde-schwarz.com 撤销此同意声明,邮件主题注明“Unsubscribe”即可。此外,我们发送给您的每一封电子邮件中都含有电子邮件取消订阅链接。有关个人数据使用和撤销程序的详情,请参阅“隐私声明”

你的申请已提交,我们稍后会联系您。
An error has occurred, please try again later.