導讀
近日,全球最大的CDN服務商Akamai發(fā)布了一項針對應用程序接口(API)不斷進化的威脅形勢的研究,據(jù)信息技術研究和分析的公司Gartner稱,到2022年,API將成為最常見的在線攻擊媒介。
近年來,API作為在移動互聯(lián)網(wǎng)時代中連接數(shù)據(jù)和應用的重要通道,承載著越來越復雜的應用程序邏輯和越來越多的敏感數(shù)據(jù)。正因如此,API也成為黑產(chǎn)的重點攻擊目標,API遭受攻擊的事件屢見不鮮并影響巨大。
API安全問題持續(xù)出現(xiàn)
盡管在系統(tǒng)生命周期(SDLC)和測試工具方面進行了改進,但該報告強調了API漏洞的令人沮喪的現(xiàn)狀。通常,在急于將API安全推向市場的過程中,API安全被降級為事后的考慮,并不被得到重視,許多組織依賴傳統(tǒng)的網(wǎng)絡安全解決方案,這些解決方案并非能夠保護API可能引入的廣泛攻擊。
Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報告》作者Steve Ragan指出:“從遭到破壞的身份驗證和注入缺陷,到簡單的錯誤配置,任何構建聯(lián)網(wǎng)應用程序的人都會面臨不計其數(shù)的API安全問題。企業(yè)無法充分檢測API攻擊,即使檢測到此類攻擊,也可能會被漏報。DDoS攻擊和勒索軟件都是企業(yè)關注的重要問題,而API攻擊并沒有得到同等程度的關注,這在很大程度上是因為,犯罪分子使用API發(fā)起的攻擊無法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動效應,但這并不意味著應該忽視API攻擊。”
企業(yè)并不總是能夠知曉API漏洞位于何處。例如,API經(jīng)常隱藏在移動應用程序中,導致人們認為它們無法被犯罪分子操縱。開發(fā)人員假設用戶只會通過移動用戶界面(UI)與API進行交互,但正如本報告所指出的,情況并非如此。
Veracode首席研究官Chris Eng表示:“將OWASP十大漏洞與OWASP十大API安全漏洞進行比較。后者聲稱體現(xiàn)了API的‘獨特漏洞和安全風險’,但仔細看,您會看到其中列出了完全相同的Web漏洞,順序稍有不同,并采用了略微不同的文字描述。為了提高效率,API調用經(jīng)過了專門設計,使得用戶可以更輕松、更快地自動執(zhí)行調用——這是一把雙刃劍,既有利于開發(fā)人員,也有利于攻擊者。”
攻擊流量激增指向
持續(xù)存在的API漏洞
報告中還詳細提到,Akamai審查了2020年1月至2021年6月間(18個月)的攻擊流量,發(fā)現(xiàn)總攻擊次數(shù)超過110億次。憑借記錄到的62億次攻擊,SQL注入(SQLi)仍然在Web攻擊趨勢列表中排在首位,其次是本地文件包含(LFI)(33億次)、跨站點腳本攻擊(XSS)(10.19億次)。
雖然很難在上述攻擊中確定純粹的API攻擊所占的比例,但致力于提高軟件安全性的非營利性基金會——開放Web應用程序安全項目(OWASP)最近發(fā)布了一份10大API安全漏洞清單,該清單基本與Akamai的調查結果一致。
如何吸引網(wǎng)絡安全技能人才?
澳大利亞聯(lián)邦內(nèi)政部正在溝通賦予電信公司更多的權利用來阻止惡意信息
電信巨頭遭DDoS攻擊致全國網(wǎng)絡關閉
未來4年隱私法、網(wǎng)絡安全服務、勒索軟件法的預測
微軟、英特爾和高盛聯(lián)手推出供應鏈安全計劃
黑客盜取阿根廷全國人口身份信息并進行兜售
即使遮蓋ATM機也能被猜出銀行卡密碼