头图

网络安全—如何预防常见的API漏洞

跟随着互联网的全面发展,API这一词频繁出现在大家的视线之中,什么是API呢?API全称Application Programming Interface,翻译出来叫做“应用程序接口”,是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。

如今,API 已成为将当今APP经济的粘合剂,在Web 2.0的浪潮到来之前,开放的API 甚至源代码主要体现在桌面应用上,越来越多的Web应用面向开发者开放了API,同时也正在成为黑客攻击的头号目标。

API的运行方式与URL的运行方式大致相同,用户使用Web搜索时,页面展示结果是动态的,以手机银行应用程序为例,API也以类似的方式运行,它可以获取用户的地理位置、姓名、账号和账户余额,并相应地填充交互页面中的字段,但因为API包括所有安全检查,并且通常直接与后端服务通信,所以也更容易被攻击者青睐。


应用程序安全方面一直存在一个问题:输入验证。如果没有适当的功能和安全测试,API可能会成为一个完美的攻击点。因为API受应用程序信任,可以进行高速、海量数据交换。通过对大量应用程序安全市场客户的调查,并参考开放Web应用程序安全项目 (OWASP) 后,调查人员汇总了以下三类最常见的API漏洞:

第一:资产管理不当

此API缺陷是环境隔离和管理不足的结果,允许攻击者访问安全性不足的API端点,在之前的网络安全事件中,就有由于开发人员API无需编辑即可访问生产数据,进而暴露了客户的系统,属于此类别的漏洞还包括未监控开发API中的敏感数据,以及让已弃用的API仍处于在线或公开状态。

第二:受损的对象级别授权Broken Object Level Authorization (BOLA)

BOLA的通俗定义是对对象访问请求的验证不充分,它允许攻击者通过重用访问令牌来执行未经授权的操作。Peloton事件是最近诸多BOLA利用中比较有名的一个案例,攻击者可以查看包括标有私人事件在内的,几乎所有用户的个人资料。此类攻击可能影响到从开发到运营,再到营销和公共关系的每个业务组。

第三:无效的用户身份验证

此类漏洞的准确定义是“身份验证机制中的实施缺陷”,允许攻击者冒充合法用户。这里关联两种常见的漏洞利用类型:第一个是由自动化机器人执行的凭证填充。查找有用户身份验证缺陷的API是自动攻击的理想目标。此漏洞的更复杂用途是进行侦察,以确定API的工作方式。例如我们输入“a@a.com /”密码的用户名/密码组合,应用程序显示“密码无效”,那么攻击者就会知道用户名是有效的。攻击者将使用此数据点来增加凭证填充(或其他类型的攻击)成功的机会。

API 缺陷影响整个企业,而不仅仅是运维团队、安全团队或业务团队,指指点点从来无法修复问题,修复始于协作,那么如何防止api接口被恶意调用或攻击?

1.图形验证码:

将图形校验码和手机验证码进行绑定,在用户输入手机号码以后,需要输入图形校验码成功后才可以触发短信验证,这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式。

2.限定请求次数:

在服务器端限定同一IP地址,同一设备,同时间范围内的接口请求次数。比如同一号码重复发送的时间间隔,一般为60或120秒;设置每个IP每天最大的发送量;设置单个手机号每天的最大发送量。

3.流程条件限定:

将手机短信验证放在最后进行,比如需要用户必须注册后,或者用不必须填写了某些条件才能进行短信验证。

4.归属地是否一致:

服务器端检查用户的IP所在地与手机号归属地是否匹配,如果不匹配则提示用户手动操作等。

5.服务器接口验证:

当用户登录成功后,返回一个由Token签名生成的秘钥信息(Token可使用base64编码和md5加密,可以放在请求的Header中),然后对每次后续请求进行Token的封装生成,服务器端在验证是否一致来判断请求是否通过。

(1)常规的方法:用户登陆后生成token,返回客户端,然后服务器使用AOP拦截controller方法,校验token的有效性,每次token是一样的;
(2)用户登录后生成临时token,存到服务器,并返回客户端,客户端下次请求时把此token传到服务器,验证token是否有效,有效就登陆成功,并生成新的token返回给客户端,让客户端在下一次请求的时候再传回进行判断,如此重复。 这种方法有性能问题,但也有一个漏洞,如果用户在一次请求后,还未进行下一次请求就已被黑客拦截到登录信息并进行假冒登录,他一样可以登录成功并使用户强制下线,但这种方法已大大减少被假冒登录的机会。
(3)两层token:一般第一次用账号密码登录服务器会返回两个token,时效长短不一样,短的时效过了之后,发送时效长的token重新获取一个短时效,如果都过期,那么就需要重新登录了。当然更复杂你还可以做三层token,按照业务分不同token。

6.采用https:

线上的api接口开启https访问,这样做的话别人抓包的难度会提高很多,而且https需要秘钥交换,可以在一定程度上鉴别是否为伪造的网络非真人IP地址

7.服务器端代理请求:

针对于网站,这也是解决跨域的方案之一,采用服务器代理可以有效的防止接口真实地址的暴露。

网络安全举足重要,近几年API安全事件也层出不穷,所以,无论是企业用户还是个人用户,一定要了解API存在的漏洞以及相关的风险,便于最及时的做好安全防护!

4 声望
0 粉丝
0 条评论
推荐阅读
互联网中断检测技术窥览与讨论
如其他人造系统一样,互联网的运行也会出现异常甚至中断。仅在2022年就发生了多起影响重大的互联网中断事件:1月15日汤加火山喷发三个小时后,全国断网,和外界的所有电话与网络联系都无法接通;3月28日,发生了T...

用户bPbDqZf阅读 150

封面图
一次偶然机会发现的MySQL“负优化”
今天要讲的这件事和上述的两个sql有关,是数年前遇到的一个关于MySQL查询性能的问题。主要是最近刷到了一些关于MySQL查询性能的文章,大部分文章中讲到的都只是一些常见的索引失效场合,于是我回想起了当初被那个...

骑牛上青山7阅读 1.8k评论 2

Mysql索引覆盖
通常情况下,我们创建索引的时候只关注where条件,不过这只是索引优化的一个方向。优秀的索引设计应该纵观整个查询,而不仅仅是where条件部分,还应该关注查询所包含的列。索引确实是一种高效的查找数据方式,但...

京东云开发者2阅读 734

封面图
MySQL 数据库索引技术原理初探
一本书 500 页的书,如果没有目录,直接去找某个知识点,可能需要找一会儿,但是借助前面的目录,就可以快速找到对应知识点在书的哪一页。这里的目录就是索引。

mylxsw1阅读 1.3k

Mybatis源码解析之执行SQL语句
通过调用 session.getMapper (AccountMapper.class) 所得到的 AccountMapper 是一个动态代理对象,所以执行 accountMapper.selectByPrimaryKey (1) 方法前,都会被 invoke () 拦截,先执行 invoke () 中的逻辑。

京东云开发者3阅读 802评论 1

封面图
2023最新MySQL高频面试题汇总
本文已经收录到Github仓库,该仓库包含计算机基础、Java基础、多线程、JVM、数据库、Redis、Spring、Mybatis、SpringMVC、SpringBoot、分布式、微服务、设计模式、架构、校招社招分享等核心知识点,欢迎star~

程序员大彬3阅读 800

第十六届中国大数据技术大会五大分论坛顺利举办!
1 月 8 日下午,由苏州市人民政府指导、中国计算机学会主办、苏州市吴江区人民政府支持,CCF 大数据专家委员会、苏州市吴江区工信局、吴江区东太湖度假区管委会、苏州市吴江区科技局、苏州大学未来科学与工程学院...

MissD阅读 5.8k

4 声望
0 粉丝
宣传栏