2019应用程序保护报告:API成黑客眼中肥肉
星期四, 八月 29, 2019
F5 Labs 研究人员宣称,API 已成黑客容易盯上的靶子。
一系列因素导致应用程序编程接口 (API) 成为网络罪犯眼中易于得手的目标。
网络安全公司 F5 Labs 日前发布《2019 应用程序保护报告》,探索可用于入侵 API 的各种攻击技术。
研究人员介绍,导致 API 成黑客攻击靶子的最大因素,是过于宽泛的权限。在博客帖子中,研究人员 Ray Pompon 和 Sander Vinberg 写道:因为不是给用户使用的,API 通常设置为能访问应用程序环境中的任何数据。
权限用于生成用户请求并传入 API,但问题在于,黑客也能很方便地利用这些权限。
由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。什么都好,直到攻击绕过用户身份验证过程,直达下游应用。由于 API 拥有不受限制的访问权限,通过 API 实施的攻击可赋予攻击者看清一切的可见性。
F5 Labs 将 API 描述为网络罪犯惯用手法易于突破的目标,指出 API 所用 URI(统一资源标识符)、方法、头和其他参数可被攻击者滥用。
研究人员称:事实上,大多数典型 Web 攻击,比如注入、凭证暴力破解、参数篡改和会话欺骗,效果惊人。
另一个关键问题,则是可见性。研究人员宣称,业内缺乏对 API 及其安全风险的态势感知。
研究人员称:API 本就应该在后台工作,这没什么不好;但如果连被黑也发生在后台,我们全部宝贵资料都在看不见的情况下被盗,就不好了。
业内缺乏对API及其安全风险的态势感知
正如我们在去年报告的后续跟进中指出的,API 连接的端口往往不止 80/443。它们通常深藏在 Web 服务器某处多层目录下,其架构细节也往往只有开发团队才清楚。
现实就是,安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。
为缓解此类威胁,F5 建议公司企业做到以下几点:
1. 列出 API 清单,了解其架构和故障模式的影响;
2. 要求 API 身份验证;限制 API 权限;
3. 加密 API 连接;
4. 使用 API 专用工具,比如代理或防火墙;
5. 运用边界扫描、漏洞评估和渗透测试等手段测试 API。
上月曝光的 Capital One 黑客案中,检方宣称涉案黑客 Paige Thompson 可能入侵了其他 30 多个公司。该报告的发布正值检方透露该消息之时。但并无证据显示 Thompson 有意售卖或分发其盗取的数据。
《2019应用程序保护报告》:
相关阅读