API安全保衛(wèi)大作戰(zhàn)之六大錦囊

大數(shù)據(jù)時(shí)代，信息安全正在成為全球焦點(diǎn)話題。無(wú)論是個(gè)人信息、商業(yè)機(jī)密，還是應(yīng)用程序開(kāi)發(fā)中的API，信息與數(shù)據(jù)安全的保護(hù)至關(guān)重要。智能科技潮流下，軟件工程師表示，未來(lái)幾年API將會(huì)成為Web應(yīng)用程序前端的主要形式。而在移動(dòng)互聯(lián)潮流下，應(yīng)用程序的商業(yè)價(jià)值不斷攀升，導(dǎo)致API逐漸成為網(wǎng)絡(luò)犯罪分子的目標(biāo)熱點(diǎn)。一旦API遭到全方位的Web應(yīng)用程序攻擊，那么必然會(huì)導(dǎo)致數(shù)據(jù)與信息安全風(fēng)險(xiǎn)的爆發(fā)。在各種手機(jī)APP泛濫的現(xiàn)在，背后都有同樣泛濫的API接口在支撐，其中魚(yú)龍混雜，直接裸奔的Web API大量存在，安全性令人堪優(yōu)。

Imperva重拳出擊——打響API安全保衛(wèi)戰(zhàn)，六大秘籍保障API安全，多樣性的解決方案，無(wú)懼各種針對(duì)API的攻擊。

當(dāng)API安全已成為開(kāi)發(fā)人員和信息安全專(zhuān)家共同關(guān)心的話題，當(dāng)API所面臨的安全挑戰(zhàn)不斷升級(jí)，需要采取針對(duì)性的解決方案，才能夠避免危機(jī)，保衛(wèi)API，進(jìn)而確保應(yīng)用程序與數(shù)據(jù)庫(kù)的安全。

Imperva SecureSphere WAF六大秘籍，可動(dòng)態(tài)地了解應(yīng)用程序的行為，并將其與全球眾包且實(shí)時(shí)更新的威脅情報(bào)關(guān)聯(lián)起來(lái)，全方位識(shí)別惡意網(wǎng)站行為，攔截技術(shù)攻擊，立體式保護(hù)API安全。

拒絕篡改API參數(shù)

黑客使用最常見(jiàn)的攻擊手段之一，就是通過(guò)篡改輸入?yún)?shù)(字段)來(lái)探查應(yīng)用程序安全防護(hù)。此類(lèi)篡改可用于逆向設(shè)計(jì)一個(gè)API，發(fā)起針對(duì)性的DDoS攻擊，暴露API導(dǎo)致數(shù)據(jù)泄露。

在此背景下，Imperva SecureSphere WAF專(zhuān)屬的JSON結(jié)構(gòu)和API組件，可以根據(jù)定義輕松創(chuàng)建配置文件。通過(guò)分析API并根據(jù)分析結(jié)構(gòu)來(lái)檢查API調(diào)用，以確保輸入?yún)?shù)(計(jì)數(shù)、順序等)與定義一致，阻止此類(lèi)嘗試。

Imperva SecureSphere WAF自動(dòng)構(gòu)建API配置文件

抵擋不良爬蟲(chóng)與DDoS攻擊

根據(jù)Netflix近期所做的一項(xiàng)實(shí)驗(yàn)顯示，通過(guò)使用DDoS爬蟲(chóng)攻擊其關(guān)鍵API，造成了三分之一的網(wǎng)絡(luò)陷入癱瘓。對(duì)于部分API而言，一旦遇到爬蟲(chóng)和DDoS攻擊，使其接收到無(wú)效輸入，便會(huì)用盡大量計(jì)算資源。在此背景下，DDoS攻擊可能會(huì)對(duì)API前端的Web應(yīng)用程序造成相當(dāng)大的干擾。Imperva SecureSphere WAF通過(guò)有效使用速率限制、惡意IP封殺以及反數(shù)據(jù)抓取策略，可抵擋此類(lèi)攻擊。這些策略與API分析組合使用時(shí)，可為API提供全面保護(hù)。

會(huì)話Cookie篡改

通過(guò)嘗試篡改cookie，黑客攻擊可繞過(guò)安保系統(tǒng)或?qū)㈠e(cuò)誤數(shù)據(jù)發(fā)送到應(yīng)用程序服務(wù)器。傳統(tǒng)Web應(yīng)用程序會(huì)遭到會(huì)話cookie篡改攻擊，API也在劫難逃。而WAF可提供覆蓋API的會(huì)話cookie保護(hù)及用戶(hù)，將保護(hù)策略應(yīng)用于API的能力。

告別中間人攻擊

API客戶(hù)端和API服務(wù)器之間的未加密連接，會(huì)導(dǎo)致大量敏感數(shù)據(jù)在黑客面前暴露無(wú)遺。由于API采用易于使用的JSON格式，使之逐漸成為數(shù)據(jù)交換的首選載體，因此不安全傳輸極易造成數(shù)據(jù)盜竊。通過(guò)Imperva SecureSphere WAF配置僅允許HTTPS，并強(qiáng)制執(zhí)行傳輸層安全(TLS)版本，且設(shè)置從API客戶(hù)端到API服務(wù)器的特定密碼，可規(guī)避類(lèi)似問(wèn)題。

執(zhí)行SSL/TLS阻止中間人攻擊

內(nèi)容操控/技術(shù)攻擊

攻擊者可能注入導(dǎo)致漏洞的惡意內(nèi)容。此類(lèi)技術(shù)攻擊可能包括JSON Web標(biāo)記中毒，嘗試使用傳統(tǒng)SQL注入或獲取惡意JS代碼在幕后執(zhí)行等等。要阻止此類(lèi)攻擊，需要一個(gè)具有多個(gè)簽名的WAF，將信任來(lái)源的某些IP、端口或內(nèi)容列入白名單的附加功能是避免誤報(bào)行為的必備條件。

提防API用戶(hù)跟蹤

大多數(shù)物聯(lián)網(wǎng)(IoT)設(shè)備都是使用API通道與其相應(yīng)的企業(yè)服務(wù)器進(jìn)行通信。這保證了操作的穩(wěn)定性和版本化定義。在某些情況下，這些物聯(lián)網(wǎng)設(shè)備使用客戶(hù)端證書(shū)在API服務(wù)器上進(jìn)行身份驗(yàn)證。如果黑客從物聯(lián)網(wǎng)終端獲得對(duì)API的控制，他們可以輕松地對(duì)API的順序進(jìn)行重新排列，導(dǎo)致數(shù)據(jù)泄露或不需要的操作。要防止此威脅，請(qǐng)查找可以基于身份驗(yàn)證參數(shù)模擬API用戶(hù)行為的WAF。對(duì)于物聯(lián)網(wǎng)設(shè)備，基于客戶(hù)端證書(shū)模擬API行為的能力允許安全專(zhuān)家快速辨別來(lái)自這些設(shè)備的不適當(dāng)?shù)氖褂谩?/p>

基于以上六大秘籍，Imperva SecureSphere WAF可全方位保護(hù)API安全，通過(guò)確保API安全來(lái)保護(hù)應(yīng)用程序。與此同時(shí)，面對(duì)及時(shí)創(chuàng)新、創(chuàng)建和發(fā)布代碼的DevOps的風(fēng)險(xiǎn)。還可通過(guò)WAF部署在API資源之前，通過(guò)驗(yàn)證和監(jiān)控API流量來(lái)保護(hù)核心應(yīng)用程序，為應(yīng)用程序提供安全預(yù)警。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。