《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > API安全风险频发 影子API成为主要来源

API安全风险频发 影子API成为主要来源

2022-11-05
来源:安全419
关键词: API 影子API

  Cequence威胁研究团队发布了《2022年上半年API安全报告》(以下简称“《报告》”),《报告》显示三分之一的恶意请求针对未知、未管理和未受保护的API(影子API)。

  API 安全风险1:

  影子 API 滥用 (OWASP API9)

  《报告》发现影子API滥用在2022年激增,在167亿恶意交易中,约有31%(即50亿)针对影子API,其为2022年上半年的最大威胁。

  API 安全风险2:

  API 滥用正确编码端点 (OWASP API10+)

  《报告》显示,该威胁排名第二,有36亿个恶意请求,包括针对运动鞋或奢侈品的恶意购物 API 请求(30 亿);恶意礼品卡检查(2.9亿);创建虚假帐户(2.37亿);键业务客户交互平台上的垃圾评论请求(3700 万)。

  API 安全风险3:

  凭证填充、影子API 和敏感数据泄露的“三位一体”

  《报告》表示,这种API安全风险(1亿)也构成了重大威胁,其利用了多个 API 安全漏洞,例如用户身份验证中断(API2)、数据过度泄露(API3) 和资产管理不当(API9)。研究人员表示,这种组合证明攻击者正在对每个API的工作原理等进行详细分析。

  API安全是重中之重

  《报告》指出,API已成为业务的基石,企业应使API保护成为优先事项,并建议进行持续API风险评估以防止数据泄露、中断身份验证和编码错误。

  对于开发人员,应对API的安全性进行良好的构建和设计,遵守API安全开发规范进行实施。对于管理人员,应使用API管理平台对API服务所面临的风险进行检测和防护。

  永安在线长期致力于API安全的研究,其在《2022年Q2 API安全研究报告》给出了相关建议,企业除了已有的防御体系外,也需要针对性地构建API安全防护体系,其中风险情报是重要的组成部分,基于情报及早感知及时防御,从而保障企业及其用户的数据安全。

  针对API面临的安全威胁,瑞数信息打造了API安全管控平台,其包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。

  如今API安全已成为提供API服务的企业之间以及企业内部都需要关注的一个安全问题,一旦没有很好的保护好提供服务的API,不仅会对用户的使用体验以及个人隐私带来威胁和风险,而且可能会使企业面临安全威胁和风险,API安全已成为重中之重。



更多信息可以来这里获取==>>电子技术应用-AET<<

二维码.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。