亚洲国产成人av在线观看,777米奇色狠狠狠888影视,一二三四在线视频观看社区,小荡货奶真大水真多紧视频

基于 API 的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)不斷升級(jí),如何出奇制勝?
發(fā)布時(shí)間:2023-10-31

隨著云計(jì)算、移動(dòng)應(yīng)用和物聯(lián)網(wǎng)高速發(fā)展,API(應(yīng)用程序編程接口)正被廣泛應(yīng)用。作為現(xiàn)代應(yīng)用的基本組成部分,API 使開(kāi)發(fā)人員能夠迅速集成第三方服務(wù)、豐富功能并推動(dòng)創(chuàng)新。無(wú)論是擴(kuò)展醫(yī)療保健服務(wù)還是推動(dòng)電子商務(wù),API 都已經(jīng)無(wú)縫地融入到我們數(shù)字生活的基礎(chǔ)中。也正因此,利用 API 漏洞進(jìn)行的網(wǎng)絡(luò)攻擊正頻繁發(fā)生。


01 API 的網(wǎng)絡(luò)攻擊數(shù)據(jù)泄露事件頻發(fā)


以下幾個(gè)公司的案例展示了 API 安全性不足所帶來(lái)的潛在風(fēng)險(xiǎn)。


Quest Diagnostics

由于第三方 API 中的漏洞,美國(guó)頂級(jí)臨床實(shí)驗(yàn)室服務(wù)提供商之一的 Quest Diagnostics 發(fā)生了重大數(shù)據(jù)泄露。攻擊者利用了第三方支付頁(yè)面中的此漏洞(可通過(guò)暴露的API訪問(wèn)),最終導(dǎo)致約 1190 萬(wàn)名患者的醫(yī)療記錄被未經(jīng)授權(quán)訪問(wèn)。



Latitude Financial

總部位于墨爾本的 Latitude Financial 在 2023 年 3 月發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件,導(dǎo)致超過(guò) 1400 萬(wàn)條記錄被泄露。受影響的數(shù)據(jù)包括近 800 萬(wàn)個(gè)駕駛執(zhí)照、53000 個(gè)護(hù)照號(hào)碼和多份月度財(cái)務(wù)報(bào)表。



Dropbox

2022 年 11 月 1 日,網(wǎng)絡(luò)罪犯成功地侵入了托管在 GitHub 上的 Dropbox 內(nèi)部代碼倉(cāng)庫(kù)。這次未經(jīng)授權(quán)的訪問(wèn)涉及了 130 個(gè)內(nèi)部代碼倉(cāng)庫(kù),其中一些存儲(chǔ)了 API 密鑰和用戶數(shù)據(jù)。攻擊者通過(guò)發(fā)送類似于? CircleCI?(一種廣泛使用的 CI/CD 任務(wù)流平臺(tái))的欺騙性電子郵件來(lái)實(shí)施網(wǎng)絡(luò)釣魚(yú)活動(dòng)。收件人被引導(dǎo)至一個(gè)偽造的 CircleCI 網(wǎng)頁(yè),并被提示輸入他們的 GitHub 憑據(jù)。隨后,他們收到了一次性密碼請(qǐng)求,這增加了欺騙性。



Peloton

2021 年 5 月,一名安全研究人員發(fā)現(xiàn)互動(dòng)健身平臺(tái) Peloton 存在一個(gè)漏洞,在該漏洞中,可以向 Peloton 的后端 API 提出未經(jīng)驗(yàn)證的請(qǐng)求,而這些 API 是其運(yùn)動(dòng)設(shè)備和訂閱服務(wù)不可或缺的組成部分。這個(gè)漏洞允許直接訪問(wèn) Peloton API 端點(diǎn),可能會(huì)暴露大量個(gè)人身份信息(PII),從而影響 Peloton 客戶的隱私。盡管 Peloton 最終解決了 API 漏洞,但其客戶的 PII 暴露程度仍不確定。



02 加強(qiáng) API 安全性:Fortify API 安全測(cè)試十大優(yōu)勢(shì)


由于基于 API 的漏洞越來(lái)越多,企業(yè)越來(lái)越致力于加強(qiáng)對(duì) API 相關(guān)風(fēng)險(xiǎn)的了解和控制。在尋求 API 安全測(cè)試解決方案時(shí),F(xiàn)ortify 可以幫助您有效識(shí)別 API 的弱點(diǎn)和漏洞。以下是 Fortify 在滿足 API 安全測(cè)試需求方面的十大獨(dú)特優(yōu)勢(shì):


01 廣泛的 API 安全評(píng)估


Fortify 提供全面的 API 安全測(cè)試方法,包括動(dòng)態(tài)分析 (DAST) 和靜態(tài)分析 (SAST)。這樣就能在開(kāi)發(fā)生命周期的各個(gè)階段檢測(cè) API 中的漏洞和安全缺陷。Fortify 具備混合分析的獨(dú)特能力,確保從更全面的角度看待 API 安全性,這使其有別于該領(lǐng)域的許多專業(yè)競(jìng)爭(zhēng)對(duì)手。


02 真實(shí)的測(cè)試場(chǎng)景


許多 API 需要身份驗(yàn)證才能訪問(wèn)敏感數(shù)據(jù)或執(zhí)行重要操作。在沒(méi)有身份驗(yàn)證的情況下對(duì) API 進(jìn)行測(cè)試可能會(huì)產(chǎn)生虛假的安全感。Fortify 具備處理各種 API 身份驗(yàn)證方法(包括MFA)的能力,有助于模擬真實(shí)情況,從而提高安全性測(cè)試的準(zhǔn)確性和相關(guān)性。


03 API 攻擊面評(píng)估


對(duì)一個(gè)應(yīng)用程序中包含的 API 有深入了解,使安全測(cè)試人員能夠全面評(píng)估應(yīng)用程序的攻擊面。這確保了潛在的漏洞或入口點(diǎn)不會(huì)被忽視。Fortify DAST 具備在抓取網(wǎng)絡(luò)應(yīng)用程序時(shí)利用 schema 和 Postman 等工具發(fā)現(xiàn) API 的能力。


04 為企業(yè)量身定制的可擴(kuò)展性


Fortify 的設(shè)計(jì)針對(duì)可擴(kuò)展性進(jìn)行了優(yōu)化,以滿足企業(yè)級(jí)應(yīng)用程序的需求,使其成為擁有復(fù)雜而龐大的 API 環(huán)境的企業(yè)的理想選擇。


05 數(shù)據(jù)流分析


API 在規(guī)范應(yīng)用程序內(nèi)部數(shù)據(jù)流動(dòng)方面發(fā)揮著關(guān)鍵作用。Fortify SAST 的數(shù)據(jù)流分析器能夠發(fā)現(xiàn)涉及被污染數(shù)據(jù)的安全問(wèn)題,這些數(shù)據(jù)被用于潛在的危險(xiǎn)用途。這種分析使得 Fortify SAST 能夠精確地識(shí)別許多不同類型的安全問(wèn)題。


06 無(wú)縫集成


Fortify 可與知名開(kāi)發(fā)工具、CI/CD 任務(wù)流和問(wèn)題跟蹤系統(tǒng)無(wú)縫集成。這簡(jiǎn)化了開(kāi)發(fā)團(tuán)隊(duì)將 API 安全測(cè)試無(wú)縫集成到既定工作流程中的過(guò)程。


07 第三方風(fēng)險(xiǎn)評(píng)估


許多應(yīng)用程序依賴于第三方 API 和服務(wù)。當(dāng)涉及到評(píng)估與第三方相關(guān)的安全風(fēng)險(xiǎn)時(shí),識(shí)別這些依賴關(guān)系至關(guān)重要。第三方 API 中的漏洞或安全弱點(diǎn)可能直接影響應(yīng)用程序的整體安全性。


08 安全配置評(píng)估


API 可能需要特定的配置才能安全運(yùn)行。Fortify 會(huì)評(píng)估這些配置是否被正確部署,降低了由于配置錯(cuò)誤導(dǎo)致的安全問(wèn)題的風(fēng)險(xiǎn)。


09 支持法規(guī)和政策遵從


Fortify 提供的功能可以幫助企業(yè)遵循與 API 安全性相關(guān)的合規(guī)要求(包括 OWASP API 安全十大原則和 GDPR 等法規(guī))。


10 強(qiáng)調(diào)補(bǔ)救措施


并非應(yīng)用程序中的所有 API 都具有相同程度的風(fēng)險(xiǎn)。Fortify 提供全面的報(bào)告和可行的指導(dǎo),以解決 API 中已識(shí)別的安全問(wèn)題。這樣就能采取有針對(duì)性的補(bǔ)救措施,將資源用于管理敏感數(shù)據(jù)或執(zhí)行關(guān)鍵功能的 API(因?yàn)檫@些 API 通常風(fēng)險(xiǎn)較高)


隨著 API 在現(xiàn)代應(yīng)用架構(gòu)中不斷發(fā)揮關(guān)鍵作用,基于 API 的網(wǎng)絡(luò)威脅日益嚴(yán)重。從醫(yī)療保健到金融等各個(gè)行業(yè),API 的易集成性和快速創(chuàng)新使其變得不可或缺。然而,對(duì) API 接口的日益依賴也使其成為網(wǎng)絡(luò)罪犯尋求可利用漏洞時(shí)的重點(diǎn)目標(biāo)。


上文列舉的幾起備受矚目的惡性事件揭示了安全性不足的 API 所帶來(lái)的風(fēng)險(xiǎn)。這些泄露事件導(dǎo)致了敏感信息的曝光,由此可見(jiàn)強(qiáng)化 API 安全性措施是重要且必要的。


如果您正在擴(kuò)大應(yīng)用程序安全的工作范圍,并計(jì)劃將 API 安全納入其中,F(xiàn)ortify 可提供全面的解決方案,助您解決 API 安全測(cè)試難題。


文章來(lái)源公眾號(hào):MicroFocus


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


關(guān)于億道電子

上海億道電子技術(shù)有限公司是國(guó)內(nèi)資深的研發(fā)工具軟件提供商,公司成立于2009年,面向中國(guó)廣大的制造業(yè)客戶提供研發(fā)、設(shè)計(jì)、管理過(guò)程中使用的各種軟件開(kāi)發(fā)工具,致力于幫助客戶提高研發(fā)管理效率、縮短產(chǎn)品設(shè)計(jì)周期,提升產(chǎn)品可靠性。

十多年來(lái),先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰(zhàn)略合作伙伴關(guān)系,并作為他們?cè)谥袊?guó)區(qū)的主要分銷合作伙伴服務(wù)了數(shù)千家中國(guó)本土客戶,為客戶提供從芯片級(jí)開(kāi)發(fā)工具、EDA設(shè)計(jì)工具、軟件編譯以及測(cè)試工具、結(jié)構(gòu)設(shè)計(jì)工具、仿真工具、電氣設(shè)計(jì)工具、以及嵌入式GUI工具等等。億道電子憑借多年的經(jīng)驗(yàn)積累,真正的幫助客戶實(shí)現(xiàn)了讓研發(fā)更簡(jiǎn)單、更可靠、更高效的目標(biāo)。

歡迎關(guān)注“億道電子”公眾號(hào)

了解更多研發(fā)工具軟件知識(shí)