应用程序程序编写插口(API)为开发者和网址拥有者给予目前应用程序的源码,这种源码可以按照她们(开发者)的特殊要求开展重新定位,并集成化到目前业务流程和网址作用中,以改进客户体验。
简单点来说,API早已成为了线上业务流程的基本前提,而一切基本前提迅速就会变成故意攻击者的攻击总体目标。
如果你是一名开发者,或是你已经网站上的各种各样应用程序中应用API,下边是一些最多见的API漏洞,他们是怎样被确定的,及其你能做些哪些来协助减轻他们的潜在的伤害。
编码引入
针对攻击者而言,应用编码引入是最经常使用的指令API的方式,可以让它实行你或你的顾客不期待她们做的任何事儿。最多见的编码引入包含SQL,XML,RegEx和API,他们向应用程序推送指令以实行例如共享资源比较敏感的消费者数据信息、登陆密码和别的身份验证信息内容之类的实际操作,并在机器设备上嵌入恶意程序和间谍软件。
InMotion Hosting
InMotionHosting是创立于2001年的美国虚拟主机商,InMotionHosting是英国最好是的对于大中小型顾客和电商系统的服务器空间服务商之一。
保证API不会受到编码引入危害的最好方式 之一是实行手动式检测,尤其是聚集的查看查验,以明确是不是有故意的人会将恶意程序插进应用程序,及其如何插入。
反复请求攻击
此漏洞适用这些容许攻击者反复请求的API,当鉴别和回绝第一个不值信赖的请求后,API沒有被设计成严禁将来的请求时,就会产生这样的事情。
对API的设计方案通常是如此的:尽管他们可以顺利地回绝最开始的异常请求,但他们不容易阻拦同一故意个人行为者再次传出不一样的请求。
这种类别的暴力行为攻击通常用以检测漏洞,而且可以利用在对策上设定速度限定,应用HMAC身份验证,使用多要素身份验证或使用期限较短的OAuth浏览动态口令来进行预防。
请求仿冒攻击
当网络黑客尝试应用通过身份验证的web应用程序(如API)开展变更电子邮箱地址或从一个银行帐户向另一个银行账户汇钱等实际操作时,就会产生请求仿冒攻击或跨网站请求仿冒攻击。这种攻击早已时兴很多年,并影响了一些较大的互联网技术网址。
对于跨网站请求仿冒的API最多见的办法是应用网络服务器转化成的动态口令,这种动态口令做为“掩藏字段名”置放在HTML源代码中。每一次传出请求时,这种都回到给网络服务器,便于网络服务器可以明确源是不是通过身份验证,因而是可靠的。伴随着很多的证券交易再次产生在网络上,跨网站请求仿冒攻击的隐患也在提升。
受攻击的客户身份验证
API以及创始人并不一直可以保证身份验证体制常规运作或建立有误,进而使API非常容易遭受攻击。不正确的身份验证体制容许网络黑客装扮成已验证客户的真实身份,随后它们可以导致各式各样的毁坏。有时候,所采用的身份验证系统软件并不是很靠谱,而且会出现意外泄漏API密匙。
除OAuth外,加强身份验证全过程的一种好方法是考虑到使用时间戳记请求。可以将其做为自定HTTP标头加上到一切API请求中,进而强制性网络服务器较为当前时间戳和请求时间格式。仅当网络服务器得到2个时间格式都是在数分钟以内的结果时,身份验证才合理。
汇总
API是关键总体目标,由于应用比较简洁的历程可以导致较大的危害。因而,这些搭建和应用API的人必须实行必需的防范措施,以保证她们和他们的顾客的消息不容易遭受以上普遍API漏洞的危害。
文中翻譯自:https://www.hackread.com/the-most-common-api-vulnerabilities/