瑞数信息《2023 API安全趋势报告》重磅发布: API攻击持续走高,Bots武器更聪明

如今API作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。为了让各个行业更好地应对API安全威胁挑战,瑞数信息作为国内首批具备“云原生API安全能力”认证的专业厂商,近年来持续输出API安全相关观点,为政企用户做好API安全防护提供参考指南。

今日,瑞数信息正式发布《2023 API安全趋势报告》(以下简称“报告”),从API威胁态势、攻击手段、API安全发展趋势等多个方面进行深度分析,剖析典型的API攻击案例,并结合API趋势提供了防护建议。
在这里插入图片描述

报告指出,随着API调用数量的增多和自动化工具的兴起,API攻击持续走高,API资产管理不当、自动化攻击、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战。同时,在远程办公和企业应用向云端迁移的趋势下,API威胁越来复杂化。随着人工智能、机器学习等技术的发展,Bots自动化攻击手段越来越聪明,可以快速、准确地扫描API漏洞或对API发起攻击,对系统造成严重威胁。

一、API威胁态势分析
随着数字化技术的发展和Web API数量的爆发性增长,API面临的安全攻击比例已经超过传统的Web漏洞攻击。API和小程序逐渐成为了很多企业和组织的流量入口,引发的攻击越来越多,并且通过API接口攻击突破Web应用,作为跳板进入目标网络。

报告指出,越来越多的攻击者正利用API来实施自动化的“高效攻击”,由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益,逐渐受到各方的关注。2022年检测到Web攻击中,针对API的攻击占比已经超过70%。

依据相关数据统计发现,2022年比2021年API攻击增加约60%。虽然2022年受疫情影响,多数单位居家办公,但是黑灰产的攻击行为并没有因此而停止,反而增多。

二、API安全防护难点
与传统的Web防护不同,API的安全防护要求更为全面,包括资产管理、缺陷识别、攻击检测、Bots检测、参数检测、行为识别、访问控制等多个环节,任何环节的缺失或不足都会影响到整体的防护效果:

01 多渠道多边界难以全面防护

访问入口的多样化,带来了业务应用部署边界的多样化,如:Web、APP、小程序、第三方平台等业务接入渠道,导致了脆弱点的暴露面扩大,增加了风险管控复杂性。因此,在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。

02 接口分散和传输格式多样性导致接口难以发现

全面准确的API接口发现是API防护工作的基础,对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同,API自身多以独立个体的方式分散存在,采用点对点的访问模式,难以通过接口之间的联系进行API发现。同时,传输数据格式的多样性(JSON、XML、GraphQL 等)也增加了API的识别难度。

03 业务紧耦合防护策略难以通用

API和业务是紧耦合的,针对API的防护策略往往也和业务相关,这就造成API防护策略在跨业务的情况下难以通用,而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点,解决这一问题是API防护产品快速部署推广的一个难点。

04 合法授权下的滥用风险难以识别

目前API在授权之后的访问控制相对薄弱,海外安全机构Salt Security发布《State of API Security》中显示,95%的API攻击发生在身份验证之后。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险。如何在已经取得合法授权的请求中识别出异常访问,是API防护需要解决的一个难题。

三、API攻击特点分析

在攻防对抗中,攻击方通常掌握着主动性,因此掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,以此作为防范依据会大大提升防范效果。面对越来越严峻的API安全威胁,报告从行业分布、缺陷分析、类型分析、API攻击手段等多个方面剖析了API攻击特点。

1 行业分布
不同行业应用、业务形态的差异导致了API使用情况各不相同,API请求访问流量占比最高的为互联网,其次为金融和运营商。

2 缺陷分析
在OWASP的参考中已经定义了多种API缺陷,但在用户生产环境中往往难以一一对应,为了更加直观的展示这些缺陷问题,瑞数信息对其进行了重新组合。最为广泛出现的 API 缺陷为过度数据暴露,其次是参数可遍历、 越权访问、参数可篡改、明文密码传输、接口误暴露等。

3 类型分析
不同的API功能类型,面临的攻击程度也不一样,尤其是适合Bots进行自动化攻击的接口,例如:公开数据查询、登录、下单等类型的接口最容易遭受攻击。

4 攻击手段
API作为应用与业务的结合体,面临着双重的攻击威胁,除了遭受着传统SQL注入、SSRF、恶意文件上传等攻击外,还面临着各种业务层面的攻击,例如:越权访问、信息遍历等。

四、API安全发展趋势及防护建议

随着API数量井喷式增长,API安全风险页进一步加剧。结合对API威胁态势和攻击特点等分析,报告预测了API安全发展四大趋势:Bots自动化攻击加剧API安全风险;API安全管理更加智能化;API安全成为云应用安全的重要组成;合规要求成为API安全的要素。

基于此,报告指出,在应对新型的API风险时,主要防护建设思路可以归结为**“一个基础,四个感知”。**

一个基础,即API资产管理是所有安全防护的基础,确保已上线的API全部都在管控范围之内,防止有漏网之鱼导致安全防线失效。

四个感知,包括:环境感知,加强对API的调用环境进行环境感知,提升API调用者的环境安全检测能力。风险感知,对API自身缺陷和外部攻击风险进行感知发现。数据感知,对敏感数据进行识别,同时结合行业的分类分级标准,进行相应的安全策略管控,全面提升敏感信息监测能力。业务感知,制定适合的API安全策略,提升业务感知能力。

五、结语
数字时代,API在为开发者带来诸多好处的同时,也极大的增加了应用系统新的风险。据Gartner预测,“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年,API滥用和相关数据泄露将几乎翻倍”。如何正确看待API安全风险并有效防护API安全,将成为所有企业的必修课。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/90565.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

观察者模式实战

场景 假设创建订单后需要发短信、发邮件等其它的操作,放在业务逻辑会使代码非常臃肿,可以使用观察者模式优化代码 代码实现 自定义一个事件 发送邮件 发送短信 最后再创建订单的业务逻辑进行监听,创建订单 假设后面还需要做其它的…

【12】Git工具 协同工作平台使用教程 Gitee使用指南 腾讯工蜂使用指南【Gitee】【腾讯工蜂】【Git】

tips:少量的git安装和使用教程,更多讲快速使用上手Gitee和工蜂平台 一、准备工作 1、下载git Git - Downloads (git-scm.com) 找到对应操作系统,对应版本,对应的位数 下载后根据需求自己安装,然后用git --version验…

自动化更新导致的各种问题解决办法

由于最近自动化频频更新导致出现各种问题,因此在创建驱动对象代码时改成这种方式 我最近就遇到了由于更新而导致的代码报错,报错信息如下: 复制内容如下: Exception in thread “main” org.openqa.selenium.remote.http.Connecti…

【C++】多态的概念和简单介绍、虚函数、虚函数重写、多态构成的条件、重载、重写、重定义

文章目录 多态1.多态的概念和介绍2.虚函数2.1final2.2override 3.虚函数的重写3.1协变3.2析构函数的重写 4.多态构成的条件5.重载、重写、重定义...... 多态 1.多态的概念和介绍 C中的多态是一种面向对象编程的特性,它允许不同的对象对同一个消息做出不同的响应。 …

Hazel 引擎学习笔记

目录 Hazel 引擎学习笔记学习方法思考引擎结构创建工程程序入口点日志系统Premake\MD没有 cpp 文件的项目会出错include 到某个库就要包含这个库的路径,注意头文件展开 事件系统 获取和利用派生类信息预编译头文件抽象窗口类和 GLFWgit submodule addpremake 脚本禁…

【JVM】对String::intern()方法深入详解(JDK7及以上)

文章目录 1、什么是intern?2、经典例题解释例1例2例3 1、什么是intern? String::intern()是一个本地方法,它的作用是如果字符串常量池中已经包含一个等于此String对象的字符串,则返回代表池中这个字符串的String对象的引用&#…

7-15 然后是几点

有时候人们用四位数字表示一个时间,比如 1106 表示 11 点零 6 分。现在,你的程序要根据起始时间和流逝的时间计算出终止时间。 读入两个数字,第一个数字以这样的四位数字表示当前时间,第二个数字表示分钟数,计算当前时…

【Vue-Router】嵌套路由

footer.vue <template><div><router-view></router-view><hr><h1>我是父路由</h1><div><router-link to"/user">Login</router-link><router-link to"/user/reg" style"margin-left…

代码随想录算法训练营(二叉树总结篇)

一.二叉树的种类 1.满二叉树&#xff1a;就是说每一个非叶子节点的节点都有两个子节点。 2.完全二叉树&#xff1a;此二叉树只有最后一层可能没填满&#xff0c;并且存在的叶子节点都集中在左侧&#xff01;&#xff01;&#xff01; &#xff08;满二叉树也是完全二叉树&…

【Flutter】【基础】CustomPaint 绘画功能(一)

功能&#xff1a;CustomPaint 相当于在一个画布上面画画&#xff0c;可以自己绘制不同的颜色形状等 在各种widget 或者是插件不能满足到需求的时候&#xff0c;可以自己定义一些形状 使用实例和代码&#xff1a; CustomPaint&#xff1a; 能使你绘制的东西显示在你的ui 上面&a…

安装Tomac服务器——安装步骤以及易出现问题的解决方法

文章目录 前言 一、下载Tomcat及解压 1、选择下载版本&#xff08;本文选择tomcat 8版本为例&#xff09; 2、解压安装包 二、配置环境 1、在电脑搜索栏里面搜索环境变量即可 2、点击高级系统设置->环境变量->新建系统变量 1) 新建系统变量&#xff0c;变量名为…

nginx一般轮询、加权轮询、ip_hash等负载均衡模式配置介绍

一.负载均衡含义简介 二.nginx负载均衡配置方式 准备三台设备&#xff1a; 2.190均衡服务器&#xff0c;2.191web服务器1&#xff0c;2.160web服务器2&#xff0c;三台设备均安装nginx&#xff0c;两台web服务器均有网页内容 1.一般轮询负载均衡 &#xff08;1&#xff09…

Autoware感知02—欧氏聚类(lidar_euclidean_cluster_detect)源码解析

文章目录 引言一、点云回调函数&#xff1a;二、预处理&#xff08;1&#xff09;裁剪距离雷达过于近的点云&#xff0c;消除车身的影响&#xff08;2&#xff09;点云降采样&#xff08;体素滤波&#xff0c;默认也是不需要的&#xff09;&#xff08;3&#xff09;裁剪雷达高…

React Native 图片组件基础知识

在 React Native 中使用图片其实跟 HTML 中使用图片一样简单&#xff0c;在 React Native 中我们使用Image组件来呈现图片的内容&#xff0c;其中主要的属性有&#xff1a;source。这个属性主要是设置图片的内容&#xff0c;它可以是网络图像地址、静态资源、临时本地图像以及本…

【LeetCode75】第二十九题 删除链表的中间节点

目录 题目&#xff1a; 示例; 分析: 代码: 题目&#xff1a; 示例; 分析: 给我们一个链表&#xff0c;让我们把链表中间的节点删了。 那么最直观最基础的办法是遍历两边链表&#xff0c;第一遍拿到链表长度&#xff0c;第二次把链表中间节点删了。 这个暴力做法我没事过…

Docker查看、创建、进入容器相关的命令

1.查看、创建、进入容器的指令 用-it指令创建出来的容器&#xff0c;创建完成之后会立马进入容器。退出之后立马关闭容器。 docker run -it --namec1 centos:7 /bin/bash退出容器&#xff1a; exit查看现在正在运行的容器命令&#xff1a; docker ps查看历史容器&#xff0…

Uniapp当中使用腾讯位置路线规划插件保姆教学

首先我们在使用腾讯地图插件之前我们需要先做几点准备 1&#xff1a;我们需要在腾讯地图位置服务当中注册账号以及在控制台当中创建应用和创建key 这里在创建应用当中应用类型一定要选出行类型&#xff0c;否则后期可能会出现问题。 我们创建完应用之后&#xff0c;点击创建…

java毕业设计-智慧食堂管理系统-内容快览

首页 智慧食堂管理系统是一种可以提高食堂运营效率的管理系统。它将前端代码使用Vue实现&#xff0c;后端使用Spring Boot实现。这个系统的目的是简化食堂管理&#xff0c;提高食堂服务质量。在现代快节奏的生活中&#xff0c;人们对餐饮服务提出了更高的要求&#xff0c;食堂管…

论文复现--关于单视角动作捕捉工具箱--MMHuman3d的研究(基于Windows10和Linux18.04中配置)

分类&#xff1a;动作捕捉 github地址&#xff1a;https://github.com/open-mmlab/mmhuman3d 所需环境&#xff1a; Windows10&#xff0c;CUDA11.6&#xff0c;conda 4.13.0&#xff0c;Visual Studio 2017&#xff1b; Ubuntu18.04&#xff0c;conda22.9.0&#xff0c;CUDA11…

C语言题目的多种解法分享 2之字符串左旋和补充题

前言 有的时候&#xff0c;这个系列专栏中的解法之间并无优劣&#xff0c;只是给大家提供不同的解题思路 我决定将代码实现的过程写成注释&#xff0c;方便大家直接找到对应的函数&#xff0c;只有需要补充说明的知识才会单拿出来强调 这个系列的文章会更的比较慢&#xff0…