如何防范API 漏洞 -探索5類(lèi)API漏洞及其防范方式 2024.12

AkamaiAPI漏洞探索5類(lèi)API漏洞及其防范方式Akamai前言什么是API漏洞？3漏洞類(lèi)型：已知漏洞4如何防范AkamaiAPISecurity如何為您提供幫助6如何防范AkamaiAPISecurity如何為您提供幫助8漏洞類(lèi)型：外部暴露9如何防范AkamaiAPISecurity如何為您提供幫助10漏洞類(lèi)型：錯(cuò)誤配置和操作員錯(cuò)誤11如何防范AkamaiAPISecurity如何為您提供幫助12漏洞類(lèi)型：未發(fā)現(xiàn)的漏洞如何防范AkamaiAPISecurity如何為您提供幫助145種漏洞類(lèi)型，5項(xiàng)防范原則|2AkamaiAPI可以幫助企業(yè)與合作伙伴、供應(yīng)商及客戶(hù)交換數(shù)據(jù)，從而連通企業(yè)的各個(gè)環(huán)節(jié)。但在大多數(shù)企業(yè)中，API安全防護(hù)仍然不夠全面。事實(shí)上，對(duì)于眾多公司來(lái)說(shuō)，近年來(lái)易受攻擊的API已然成為眾矢之的，使得攻擊者不斷濫用它們來(lái)獲取敏感數(shù)據(jù)，然后將這些數(shù)據(jù)出售給其他攻擊者或者公之于眾。2024年，消費(fèi)者電信、企業(yè)計(jì)算和虛擬協(xié)作領(lǐng)域的全球眾多品牌都遭遇了API攻擊事件，大量客戶(hù)數(shù)據(jù)及其他敏感數(shù)據(jù)遭到泄露，造成巨大經(jīng)濟(jì)簡(jiǎn)而言之，只要出現(xiàn)任何故意不當(dāng)使用或?yàn)E用API的行為就表明存在API漏洞，而此類(lèi)行為的目的通常是獲取敏感數(shù)據(jù)。API漏洞的類(lèi)型可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行細(xì)分。為了識(shí)別3.外部暴露4.錯(cuò)誤配置和操作員錯(cuò)誤5.未發(fā)現(xiàn)的漏洞和錯(cuò)誤本電子書(shū)將說(shuō)明這五類(lèi)API漏洞中發(fā)生安全故障的位置以及如何進(jìn)行防范。另外還將幫助您重點(diǎn)關(guān)注API安全計(jì)劃中的特定薄弱環(huán)節(jié)，以最大限度地提高API安全性|3Akamai2024年1月，某個(gè)攻擊者通過(guò)利用缺少身份驗(yàn)證控制措施的API端點(diǎn)，成功入侵一款使用身份驗(yàn)證和授權(quán)問(wèn)題是最常見(jiàn)的API問(wèn)題之企業(yè)必須防范的10個(gè)最嚴(yán)重API漏洞（包括使其免受常見(jiàn)漏洞和風(fēng)險(xiǎn)(CVE)完整列表中相關(guān)漏洞的影響，該列表由MITRE運(yùn)營(yíng)的美國(guó)國(guó)家網(wǎng)絡(luò)安全聯(lián)邦資助研究與發(fā)展中心(FFRDC)編制。您可能還記得廣為人知的ApacheLog4j2漏洞(CVE-2021-44228)，它也稱(chēng)為“Log4Shell”。Log4j庫(kù)是一個(gè)用于Java編程語(yǔ)言的熱門(mén)開(kāi)源日志記錄庫(kù)，由于該庫(kù)中存在的一個(gè)缺陷，攻擊者能|4Akamai在美國(guó)，網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)負(fù)其中超過(guò)500個(gè)CVE與API相關(guān)（截至2024年8月中旬）。很多企業(yè)都難以完成這兩個(gè)步驟。除此之外，他們還使用來(lái)自第三方來(lái)源的API和代碼，貴企業(yè)要抵御已知漏洞可能造成的API攻擊，一個(gè)眾所周知的方法就是在安全補(bǔ)丁迅速更新軟件和系統(tǒng)。另外，還必須確保您的開(kāi)發(fā)和測(cè)試過(guò)程綜合全面，并嚴(yán)格遵循API?保護(hù)您的軟件供應(yīng)鏈：確保您使用的所有庫(kù)、開(kāi)源軟件(OSS)和其他第三方代碼都?實(shí)施左移安全測(cè)試：將與API安全和軟件測(cè)試相關(guān)的任務(wù)移至開(kāi)發(fā)過(guò)程早期階段。這可以幫助您發(fā)現(xiàn)一些漏洞，例如開(kāi)發(fā)人員團(tuán)隊(duì)在需要快速發(fā)布軟|5AkamaiAkamaiAPISecurity如何為您提供幫助借助AkamaiAPISecurity，您的團(tuán)隊(duì)可以減少每個(gè)新的構(gòu)建版本中的已知漏洞，同時(shí)無(wú)需犧牲速度。APISecurity是一個(gè)專(zhuān)門(mén)構(gòu)建的API安全測(cè)試解決方案，可全面覆蓋API相關(guān)?通過(guò)集成到整個(gè)軟件開(kāi)發(fā)生命周期中來(lái)實(shí)現(xiàn)左移。在整個(gè)CI/CD此外，APISecurity的態(tài)勢(shì)管理讓您可以全面了解流量、代碼和配置，以評(píng)|6Akamai漏洞類(lèi)型：影子API、惡意API、僵尸API和已棄用的API您無(wú)法保護(hù)看不見(jiàn)的資產(chǎn)，而在很多公司內(nèi)，很大一部分API都不受管理，這使得影子API、惡意API、僵尸API和已棄用的API（請(qǐng)參閱下一頁(yè)的側(cè)欄）成為您的API資產(chǎn)中未被察覺(jué)或未加考慮的目標(biāo)。此外，攻擊者往往會(huì)查看某個(gè)企業(yè)已暴露的API，然后進(jìn)行模糊測(cè)試或修改值以查找舊版本，從而搜尋可利用的A姓名、地址、出生日期和政府簽發(fā)的一些身份證件號(hào)碼，因此遭受了攻了一個(gè)用于測(cè)試的API，而該API出于某種未知原因可通過(guò)開(kāi)放的互聯(lián)網(wǎng)進(jìn)行訪(fǎng)問(wèn)。由于大多數(shù)企業(yè)在運(yùn)營(yíng)中會(huì)用到各種遺留API和新API。不幸的是，很多人都會(huì)發(fā)現(xiàn)自己身邊API可能會(huì)被激活卻無(wú)人覺(jué)察（這是可以通過(guò)全面API發(fā)現(xiàn)解決的問(wèn)題）。但當(dāng)進(jìn)程故障導(dǎo)致無(wú)法關(guān)閉舊API時(shí)，該API便會(huì)變?yōu)榻┦珹PI。?重新激活的代碼：在某些情況下，API的舊版本可能會(huì)意外被重新激活。|7Akamai隊(duì)來(lái)說(shuō)無(wú)疑是不現(xiàn)實(shí)的。為了保護(hù)您的企業(yè)免受惡意API、僵尸API和影子API被利用的影響，您需要能夠識(shí)別正在使用的各類(lèi)API的自動(dòng)化API發(fā)現(xiàn)功能。然后通過(guò)它來(lái)找到并清點(diǎn)您的整個(gè)運(yùn)營(yíng)過(guò)程中的每個(gè)API，并且發(fā)現(xiàn)不受APIAkamaiAPISecurity如何為您提供幫助APISecurity會(huì)利用廣泛的集成來(lái)源來(lái)提取API數(shù)據(jù)，例如APISecurity可以識(shí)別API及其錯(cuò)誤配置和漏洞，以及API?找到并清點(diǎn)所有API，無(wú)論配置或類(lèi)型如何（包括RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC）?維護(hù)API清單并確保API文檔記錄準(zhǔn)確無(wú)誤的高風(fēng)險(xiǎn)APIAPI”）存在并運(yùn)行于企業(yè)官方監(jiān)僵尸API包含被新版本或其他API完全取代后仍處于運(yùn)行狀態(tài)的任何API。已棄用的API是由于API發(fā)生了|8Akamai外部的API漏洞通常由不良實(shí)踐或程序錯(cuò)誤所導(dǎo)致，例如API密鑰和憑據(jù)泄露、API代碼和架構(gòu)暴露、文檔管理松散和代碼庫(kù)漏洞。因此，使用合適的功潛在攻擊媒介已成為當(dāng)務(wù)之急。去年，多起備受矚目的數(shù)據(jù)泄露事件就是外部來(lái)源的API密鑰或其他憑據(jù)遭到意外暴露所致。例如，黑客使用網(wǎng)絡(luò)釣魚(yú)活動(dòng)對(duì)Dropbox的|9Akamai在另一個(gè)廣為人知的外部暴露示例中，研究人員發(fā)現(xiàn)超過(guò)3,000款移動(dòng)應(yīng)用程序?qū)witterAPI密鑰公之于眾。出乎意料的是，此類(lèi)錯(cuò)誤很常見(jiàn)，因?yàn)樵陂_(kāi)發(fā)過(guò)程中，開(kāi)發(fā)人員往往會(huì)為了方便而在應(yīng)用程序代碼中嵌入API密鑰。如果他們未能在公開(kāi)發(fā)布前移除這些嵌入?加強(qiáng)對(duì)相關(guān)過(guò)程的管理，以識(shí)別和消除暴露來(lái)源，例如泄露的密鑰和憑據(jù)、代碼庫(kù)要保護(hù)您自己免受廣泛API威脅的侵?jǐn)_，您同時(shí)需要由內(nèi)而外的發(fā)現(xiàn)（如“惡意API造成AkamaiAPISecurity如何為您提供幫助APISecurity可模擬黑客使用的偵察技術(shù)并讓您能夠快速找到并修復(fù)問(wèn)題，從而幫助您搶先一步防范攻擊者的攻擊。借助由外而內(nèi)的發(fā)現(xiàn)，APISecurity會(huì)定期自動(dòng)掃描您的外部?找到公開(kāi)的漏洞：快速找到并修復(fù)關(guān)鍵問(wèn)題，如API密鑰和憑據(jù)泄露、代碼暴露、?發(fā)現(xiàn)與貴公司相關(guān)的域名和子域名：利用從各種來(lái)源（包括互聯(lián)網(wǎng)注冊(cè)商、證書(shū)?融入真實(shí)的攻擊方法：模仿攻擊者進(jìn)行外部偵察，通過(guò)執(zhí)行對(duì)公司域名或子域名的|10Akamai很多網(wǎng)絡(luò)攻擊者會(huì)利用服務(wù)器、網(wǎng)絡(luò)、API網(wǎng)關(guān)以及防火墻（用于代理和保護(hù)的錯(cuò)誤配置來(lái)實(shí)施入侵。IBMSecurityX-Force進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，三分之二的云漏洞都與錯(cuò)誤配置的API相關(guān)。導(dǎo)致安全系統(tǒng)錯(cuò)誤配置的原因可能訪(fǎng)問(wèn)控制的云存儲(chǔ)（出人意料地常見(jiàn)）以及不完整或臨時(shí)的配置擴(kuò)大，您的運(yùn)營(yíng)可能會(huì)擴(kuò)展到更多位置，包括多個(gè)公有云可用區(qū)域或AWS、MicrosoftAzure和GoogleCloud等公有云。這些環(huán)境往往在不同的安全控制措施下運(yùn)行，這使得|11Akamai要想從基礎(chǔ)架構(gòu)層面有效防范安全錯(cuò)誤配置，您應(yīng)該盡可能地避免網(wǎng)關(guān)和防火墻進(jìn)行手動(dòng)配置。如果貴公司的管理員團(tuán)即使您已盡己所能，采取了一切措施來(lái)確?；A(chǔ)架構(gòu)、服務(wù)和API萬(wàn)無(wú)一失，API態(tài)勢(shì)管理。態(tài)勢(shì)管理為您提供了用于在API整個(gè)生命周期中管理、監(jiān)控和保持APIAPISecurity如何為您提供幫助APISecurity的態(tài)勢(shì)管理模塊可以分析API調(diào)用和基礎(chǔ)架構(gòu)，以識(shí)別是否存在錯(cuò)誤配置。這些錯(cuò)誤配置通常是AmazonS3存儲(chǔ)桶問(wèn)題、與未經(jīng)身份驗(yàn)證的API相關(guān)的敏感數(shù)據(jù)以及不同的基于Kubernetes訪(fǎng)問(wèn)權(quán)限的錯(cuò)誤配置。的整個(gè)攻擊面，包括通過(guò)API移動(dòng)的所有形式的敏感數(shù)據(jù)，例如個(gè)人身份信息。它還可以幫助您確認(rèn)API管理工具是否正在使用安全系數(shù)高的協(xié)議和密碼，從而避免使用可能會(huì)暴露這些敏感數(shù)據(jù)的弱加密。此外，API不得接受過(guò)期的JSONWeb令牌，因?yàn)檫@樣做會(huì)允許未經(jīng)授權(quán)的訪(fǎng)問(wèn)并增加安全風(fēng)險(xiǎn)。此模塊還可以幫助避免出現(xiàn)錯(cuò)誤負(fù)載均衡器在沒(méi)有重定向的情況下偵聽(tīng)不安全的端口。所有這些措施可以共同增強(qiáng)API的|12AkamaiAPI安全風(fēng)險(xiǎn)和其他常見(jiàn)錯(cuò)誤配置，以及惡意API、僵尸API和影子API。他們還會(huì)探查您的已暴露的API，查找可在庫(kù)、開(kāi)源代碼和其他類(lèi)型的公共代碼中利用的新漏洞，以及您的API資產(chǎn)中是否存在可以利用的代碼編寫(xiě)錯(cuò)誤、缺陷及錯(cuò)誤配置。這些漏洞讓網(wǎng)絡(luò)犯罪分子能夠操縱API調(diào)用并將模糊測(cè)試字符串插入請(qǐng)求中。因此，網(wǎng)絡(luò)犯罪分子使用的技術(shù)API運(yùn)行時(shí)保護(hù)旨在識(shí)別利用任何已知或未知漏洞的黑客。只有這樣，才能保護(hù)您的API資產(chǎn)，使其免受先前未識(shí)別而進(jìn)入生產(chǎn)環(huán)境中的缺陷和錯(cuò)運(yùn)行時(shí)保護(hù)可以識(shí)別出API使用和數(shù)據(jù)訪(fǎng)問(wèn)中的異常模式和異常，從而可以在數(shù)千或數(shù)百API運(yùn)行時(shí)保護(hù)可幫助您識(shí)別并攔截惡意API請(qǐng)?API安全攻擊此外，運(yùn)行時(shí)保護(hù)還會(huì)記錄API流量、監(jiān)控敏感數(shù)據(jù)訪(fǎng)問(wèn)、檢測(cè)威脅以及屏蔽或修復(fù)攻擊|13AkamaiAPISecurity如何為您提供幫助并阻止API攻擊?；谧灾鳈C(jī)器學(xué)習(xí)(ML)的監(jiān)控功能改、數(shù)據(jù)政策違規(guī)、可疑行為和API安全攻擊的情境洞察。APISecurity