日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
網絡安全攻防演練中不能忽視的API風險

網絡安全實戰(zhàn)化攻防演練是檢驗企業(yè)網絡安全建設效果的有效方式,攻防雙方在真實的網絡環(huán)境中開展對抗,更貼近實際情況,有利于發(fā)現(xiàn)企業(yè)真實存在的安全問題。盡管很多企業(yè)通過持續(xù)的攻防演練有效提升了安全防護能力,但隨著組織數(shù)字化進程的加快以及業(yè)務的迅速發(fā)展,總有一些跟不上變化的風險點出現(xiàn)。本文梳理總結了企業(yè)在實戰(zhàn)化攻防演練活動中容易忽略的API安全風險,并給出相應的防護策略建議。

成都創(chuàng)新互聯(lián)是一家專注于成都網站建設、網站建設與策劃設計,常德網站建設哪家好?成都創(chuàng)新互聯(lián)做網站,專注于網站建設十年,網設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:常德等地區(qū)。常德做網站價格咨詢:13518219792

知己:容易被忽視的攻擊風險

從以往攻防演練活動的實際案例來看,各組織單位在攻擊面梳理過程中容易忽略的幾個關鍵點:

1.影子API

在資產梳理過程中,難免有些資產在安全視線之外,如有些API沒有經過WAF或API網關,這些API可能是歷史遺留下來的僵尸API,由于缺乏安全防護容易被攻擊。

2.邏輯漏洞

傳統(tǒng)安全檢測產品很難發(fā)現(xiàn)未授權訪問、越權訪問、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞(安全缺陷)。如,攻擊者利用未授權訪問、越權訪問漏洞,獲取到管理員賬號密碼等敏感數(shù)據(jù),或者直接執(zhí)行高權限動作,進而獲取到系統(tǒng)控制權。

3.涉敏流量

現(xiàn)有WAF、API網關等產品更多是對入站流量的檢測,缺乏對出站流量的檢測,出站流量中如果暴露了明文的敏感數(shù)據(jù),可能會被攻擊者加以利用,比如獲取到內部員工的郵箱后,發(fā)送釣魚郵件。

4.高危組件

承載API的后端組件可能存在安全隱患(比如沒有修復某個高危漏洞),同時這些組件因為API對外提供業(yè)務而暴露在互聯(lián)網中,往往會成為攻擊者的攻擊目標。

API是支撐線上應用連接和數(shù)據(jù)傳輸?shù)年P鍵,承載著企業(yè)核心業(yè)務邏輯和大量敏感數(shù)據(jù),在應用環(huán)境中非常普遍。數(shù)字時代的今天,各行各業(yè)都有大量的API去支撐業(yè)務交互:

? 金融:各類銀行、證券的APP、小程序、第三方業(yè)務開放平臺等對外提供大量API接口用于客戶查詢或辦理業(yè)務,涉及手機號、銀行卡號、身份信息等敏感數(shù)據(jù)。

? 政務:市民卡、線上政務平臺等互聯(lián)網政務系統(tǒng)需要開放API接口在互聯(lián)網上,方便民生業(yè)務辦理,涉及的是公民居住證、學歷信息、身份證號等個人隱私數(shù)據(jù)。

? 醫(yī)療:受到新冠疫情影響,在線醫(yī)療已經成為人們日常生活的一部分,大量的檢測報告查詢APP、小程序以及與疫情相關的在線業(yè)務蓬勃發(fā)展,相關數(shù)據(jù)信息需要通過API進行調取。

? 互聯(lián)網:基于不同互聯(lián)網行業(yè)的實際業(yè)務場景,會開放大量的業(yè)務API接口給到第三方合作伙伴、第三方用戶等等。

這些承載著大量高價值數(shù)據(jù)的API是網絡黑客關注的重點,自然也是攻擊方眼中的“香餑餑”。

2021年,我們看到有多個API漏洞在攻防演練活動被利用和發(fā)現(xiàn),主要包括:

這些API漏洞是如何被攻擊方利用的呢?

知彼:攻擊方常見的攻擊“套路”

基于過往實戰(zhàn)案例,攻擊方針對API的常見攻擊手法有以下幾種:

1 暴力破解/撞庫攻擊

攻擊方通過掃描發(fā)現(xiàn)管理后臺登錄頁面,并針對登錄接口進行撞庫或暴力破解,獲取到賬號密碼后直接登錄后臺,或者利用獲取的郵箱、手機號等信息進行釣魚、社工等攻擊,直至進入到企業(yè)內網獲取更多的權限。

2 危險路徑掃描

某些后端組件由于默認配置或錯誤配置,導致向互聯(lián)網暴露了一些不必要的API,其中有些API可執(zhí)行高權限操作或獲取敏感數(shù)據(jù),而攻擊者則可以通過路徑掃描,定位到這些API的路徑。

3 漏洞掃描

隨著業(yè)務的快速發(fā)展,API的迭代和發(fā)布周期也隨之加快,在“重業(yè)務、輕安全”理念驅使下,很多API在開發(fā)過程中就存在漏洞,攻擊者通過漏洞掃描器對站點發(fā)起掃描,以此發(fā)現(xiàn)存在漏洞的API,并發(fā)起攻擊。

應對:從業(yè)務安全的實際需求出發(fā)

在了解了攻防演練中那些容易被忽略的API安全風險點和攻擊方常見的攻擊套路后,各組織單位想要在攻防演練中更好應對,還需要從自身業(yè)務安全出發(fā),制定相應的API安全管理策略。

永安在線研究認為,各組織單位在網絡安全攻防演練中想要有效管理和保護API資產,可以從API資產梳理、缺陷評估、攻擊檢測三方面著手。

一是資產動態(tài)梳理

1. 通過自動化識別業(yè)務API調用關系,全面、持續(xù)清點API接口,包括影子API和僵尸API、老版本和功能重復的API,縮小風險暴露面。

2. 持續(xù)監(jiān)測敏感數(shù)據(jù)流動,對各種敏感數(shù)據(jù)進行識別,并對敏感數(shù)據(jù)進行自定義檢測,減少數(shù)據(jù)暴露面。

3. 持續(xù)動態(tài)梳理系統(tǒng)訪問賬號,多維度記錄賬號訪問和操作行為,主動識別風險動作,同時也為企業(yè)提供行為溯源能力。

二是缺陷持續(xù)評估

1. 全面、持續(xù)地評估API缺陷,要能夠監(jiān)測目前常見各類安全缺陷,并做到全面覆蓋OWASP API Top10安全問題。

2. 通過完整、清晰的缺陷樣例和自動化驗證流程,幫助企業(yè)提升缺陷修復效率。

三是攻擊精準感知

1. 基于情報構建API行為基線,及時發(fā)現(xiàn)API攻擊、賬號異常、IP攻擊等風險。

2.系統(tǒng)支持輸出多維度IOC異常標識,聯(lián)動WAF、風控等快速自動化阻斷。


網頁標題:網絡安全攻防演練中不能忽視的API風險
標題來源:http://m.5511xx.com/article/dpcjics.html