西极IT网首页 > 业界 > 业界 > 正文

API安全保卫大作战之六大锦囊
2018-03-21 08:45  未知    我要评论

大数据时代,信息安全正在成为全球焦点话题。无论是个人信息、商业机密,还是应用程序开发中的API,信息与数据安全的保护至关重要。智能科技潮流下,软件工程师表示,未来几年API将会成为Web应用程序前端的主要形式。而在移动互联潮流下,应用程序的商业价值不断攀升,导致API逐渐成为网络犯罪分子的目标热点。一旦API遭到全方位的Web应用程序攻击,那么必然会导致数据与信息安全风险的爆发。在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的Web API大量存在,安全性令人堪优。

Imperva重拳出击——打响API安全保卫战,六大秘籍保障API安全,多样性的解决方案,无惧各种针对API的攻击。

当API安全已成为开发人员和信息安全专家共同关心的话题,当API所面临的安全挑战不断升级,需要采取针对性的解决方案,才能够避免危机,保卫API,进而确保应用程序与数据库的安全。

Imperva SecureSphere WAF六大秘籍,可动态地了解应用程序的行为,并将其与全球众包且实时更新的威胁情报关联起来,全方位识别恶意网站行为,拦截技术攻击,立体式保护API安全。

拒绝篡改API参数

黑客使用最常见的攻击手段之一,就是通过篡改输入参数(字段)来探查应用程序安全防护。此类篡改可用于逆向设计一个API,发起针对性的DDoS攻击,暴露API导致数据泄露。

在此背景下,Imperva SecureSphere WAF专属的JSON结构和API组件,可以根据定义轻松创建配置文件。通过分析API并根据分析结构来检查API调用,以确保输入参数(计数、顺序等)与定义一致,阻止此类尝试。

API安全保卫大作战之六大锦囊

Imperva SecureSphere WAF自动构建API配置文件

抵挡不良爬虫与DDoS攻击

根据Netflix近期所做的一项实验显示,通过使用DDoS爬虫攻击其关键API,造成了三分之一的网络陷入瘫痪。对于部分API而言,一旦遇到爬虫和DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。在此背景下,DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。Imperva SecureSphere WAF通过有效使用速率限制、恶意IP封杀以及反数据抓取策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。

会话Cookie篡改

通过尝试篡改cookie,黑客攻击可绕过安保系统或将错误数据发送到应用程序服务器。传统Web应用程序会遭到会话cookie篡改攻击,API也在劫难逃。而WAF可提供覆盖API的会话cookie保护及用户,将保护策略应用于API的能力。

告别中间人攻击

API客户端和API服务器之间的未加密连接,会导致大量敏感数据在黑客面前暴露无遗。由于API采用易于使用的JSON格式,使之逐渐成为数据交换的首选载体,因此不安全传输极易造成数据盗窃。通过Imperva SecureSphere WAF配置仅允许HTTPS,并强制执行传输层安全(TLS)版本,且设置从API客户端到API服务器的特定密码,可规避类似问题。

API安全保卫大作战之六大锦囊

执行SSL/TLS阻止中间人攻击

内容操控/技术攻击

攻击者可能注入导致漏洞的恶意内容。此类技术攻击可能包括JSON Web标记中毒,尝试使用传统SQL注入或获取恶意JS代码在幕后执行等等。要阻止此类攻击,需要一个具有多个签名的WAF,将信任来源的某些IP、端口或内容列入白名单的附加功能是避免误报行为的必备条件。

提防API用户跟踪

大多数物联网(IoT)设备都是使用API通道与其相应的企业服务器进行通信。这保证了操作的稳定性和版本化定义。在某些情况下,这些物联网设备使用客户端证书在API服务器上进行身份验证。如果黑客从物联网终端获得对API的控制,他们可以轻松地对API的顺序进行重新排列,导致数据泄露或不需要的操作。要防止此威胁,请查找可以基于身份验证参数模拟API用户行为的WAF。对于物联网设备,基于客户端证书模拟API行为的能力允许安全专家快速辨别来自这些设备的不适当的使用。

基于以上六大秘籍,Imperva SecureSphere WAF可全方位保护API安全,通过确保API安全来保护应用程序。与此同时,面对及时创新、创建和发布代码的DevOps的风险。还可通过WAF部署在API资源之前,通过验证和监控API流量来保护核心应用程序,为应用程序提供安全预警。

关键词:

责任编辑:blogno