API安全保卫大作战之六大锦囊

大数据时代,信息安全正在成为全球焦点话题。无论是个人信息、商业机密,还是应用程序开发中的API,信息与数据安全的保护至关重要。智能科技潮流下,软件工程师表示,未来几年API将会成为Web应用程序前端的主要形式。而在移动互联潮流下,应用程序的商业价值不断攀升,导致API逐渐成为网络犯罪分子的目标热点。一旦API遭到全方位的Web应用程序攻击,那么必然会导致数据与信息安全风险的爆发。在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的Web API大量存在,安全性令人堪优。

Imperva重拳出击——打响API安全保卫战,六大秘籍保障API安全,多样性的解决方案,无惧各种针对API的攻击。

当API安全已成为开发人员和信息安全专家共同关心的话题,当API所面临的安全挑战不断升级,需要采取针对性的解决方案,才能够避免危机,保卫API,进而确保应用程序与数据库的安全。

Imperva SecureSphere WAF六大秘籍,可动态地了解应用程序的行为,并将其与全球众包且实时更新的威胁情报关联起来,全方位识别恶意网站行为,拦截技术攻击,立体式保护API安全。

拒绝篡改API参数

黑客使用最常见的攻击手段之一,就是通过篡改输入参数(字段)来探查应用程序安全防护。此类篡改可用于逆向设计一个API,发起针对性的DDoS攻击,暴露API导致数据泄露。

在此背景下,Imperva SecureSphere WAF专属的JSON结构和API组件,可以根据定义轻松创建配置文件。通过分析API并根据分析结构来检查API调用,以确保输入参数(计数、顺序等)与定义一致,阻止此类尝试。

API安全保卫大作战之六大锦囊

Imperva SecureSphere WAF自动构建API配置文件

抵挡不良爬虫与DDoS攻击

根据Netflix近期所做的一项实验显示,通过使用DDoS爬虫攻击其关键API,造成了三分之一的网络陷入瘫痪。对于部分API而言,一旦遇到爬虫和DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。在此背景下,DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。Imperva SecureSphere WAF通过有效使用速率限制、恶意IP封杀以及反数据抓取策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。

会话Cookie篡改

通过尝试篡改cookie,黑客攻击可绕过安保系统或将错误数据发送到应用程序服务器。传统Web应用程序会遭到会话cookie篡改攻击,API也在劫难逃。而WAF可提供覆盖API的会话cookie保护及用户,将保护策略应用于API的能力。

告别中间人攻击

API客户端和API服务器之间的未加密连接,会导致大量敏感数据在黑客面前暴露无遗。由于API采用易于使用的JSON格式,使之逐渐成为数据交换的首选载体,因此不安全传输极易造成数据盗窃。通过Imperva SecureSphere WAF配置仅允许HTTPS,并强制执行传输层安全(TLS)版本,且设置从API客户端到API服务器的特定密码,可规避类似问题。

API安全保卫大作战之六大锦囊

执行SSL/TLS阻止中间人攻击

内容操控/技术攻击

攻击者可能注入导致漏洞的恶意内容。此类技术攻击可能包括JSON Web标记中毒,尝试使用传统SQL注入或获取恶意JS代码在幕后执行等等。要阻止此类攻击,需要一个具有多个签名的WAF,将信任来源的某些IP、端口或内容列入白名单的附加功能是避免误报行为的必备条件。

提防API用户跟踪

大多数物联网(IoT)设备都是使用API通道与其相应的企业服务器进行通信。这保证了操作的稳定性和版本化定义。在某些情况下,这些物联网设备使用客户端证书在API服务器上进行身份验证。如果黑客从物联网终端获得对API的控制,他们可以轻松地对API的顺序进行重新排列,导致数据泄露或不需要的操作。要防止此威胁,请查找可以基于身份验证参数模拟API用户行为的WAF。对于物联网设备,基于客户端证书模拟API行为的能力允许安全专家快速辨别来自这些设备的不适当的使用。

基于以上六大秘籍,Imperva SecureSphere WAF可全方位保护API安全,通过确保API安全来保护应用程序。与此同时,面对及时创新、创建和发布代码的DevOps的风险。还可通过WAF部署在API资源之前,通过验证和监控API流量来保护核心应用程序,为应用程序提供安全预警。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-03-20
API安全保卫大作战之六大锦囊
大数据时代,信息安全正在成为全球焦点话题。无论是个人信息、商业机密,还是应用程序开发中的API,信息与数据安全的保护至关重要。

长按扫码 阅读全文