API 對於構建強大且持續的通訊橋至關重要,該橋使裝置能夠無縫地提供所需的資訊。 然而,黑客使用各種方式來利用 API 並破壞目標裝置,這種 API 開發是對 API 安全的潛在威脅。 如果 API 設計的威脅建模階段沒有考慮埠鎖定的執行,並且沒有新增補償控制,那麼這些 API 就有被“濫用”的風險。 API 濫用是指對 API 的不當處理、獲得未經批准的訪問許可權以及修改關鍵功能,以便 API 可以被惡意程序使用,例如攻擊或過載伺服器。 它是在機械人、網路釣魚攻擊或手動插入惡意**的幫助下執行的。
由於API通常對應大量的**值資料,並且也受到各種自動化爬蟲工具的高度關注,因此平台運營商受到羊毛採摘和資料盜竊的影響,API的使用經常受到流量占用等威脅的影響,無法正常工作。
企業往往覺得自己的API是安全的、“完美”的,因為它們已經通過了漏洞評估。 但最大的 API 保護差距是對合作夥伴開放且容易被濫用的 API 的保護。 即使 API 編寫得完美且沒有漏洞,它們也可能以意想不到的方式被濫用,暴露共享它們的組織的核心業務功能和資料。
為什麼 API 總是成為攻擊者的目標? 簡單來說,有三個原因:第一,目標很容易找到:API 的職責是應用之間的呼叫,自然是公開的和暴露的; 2.攻擊的潛在收益高:API攜帶大量重要資料和認證資訊,一旦攻擊者成功突破API。 直接訪問核心系統。 3、防攻擊難:大量API許可權控制不夠細化,容易被攻擊者發現漏洞,輕鬆繞過邊界保護。
乙個典型的例子是 2018 年的劍橋分析公司 (CA) 醜聞。 在那次事件中,CA 利用 Facebook 的開放 API 收集了至少 8700 萬使用者的大量資料。 這是通過使用 Facebook 測驗應用程式實現的,該應用程式利用許可權設定,允許第三方應用程式收集有關測驗者的資訊,以及他們所有朋友的興趣、位置資料等。 然後將這些資訊提供給各種政治運動。 它的全部影響可能永遠不會知道,但公認的影響對2016年美國和英國的英國脫歐公投產生了重大影響。 這一事件還導致Facebook市值超過1000億美元的立即受到打擊,罰款超過數十億美元,並在未來幾年內成為監管機構的目標。
所有這些都不涉及利用 Facebook API 基礎設施中的基礎設施漏洞。 Facebook 暴露了乙個最終被濫用的核心業務 API,而 CA 只是以 Facebook 的公共 API 在建立時沒有意圖或預期的方式使用。
企業可以通過多種方式避免 API 攻擊:
1.定期更新 API 版本:通過公升級 API,您可以修補以前版本中的漏洞和缺陷,提高程式的安全性。
2.限制對 API 的訪問:正確設定對 API 的訪問是防止安全威脅的有效方法,並且只允許在需要呼叫時開啟它們。
3.對輸入資料進行過濾檢查:對輸入資料進行檢查和過濾,防止過多的資料對API請求造成攻擊。
4.進行安全審查:審計是減少清單中漏洞和安全漏洞數量並在發現安全漏洞時修復安全漏洞的重要方法。
5.限制API呼叫頻率:設定API請求的最大數量和速率,避免頻繁請求導致的安全問題。
數字融合具有很強的整合能力無縫連線企業內部和外部的系統、應用程式和資料來源。 它支援多種整合方式,包括API整合、資料整合等,使企業能夠實現系統之間的快速整合和實時資料傳輸。 無論是與內部系統的整合,還是與合作夥伴和第三方服務的整合,Data Fusion都能夠提供靈活且可擴充套件的解決方案。
欲瞭解更多資訊,請點選這裡