企業(yè)網絡安全團隊已將重點轉向API安全�����,這是勢在必行的��。在數(shù)字經濟中�����,API是業(yè)務的前門�����,是物聯(lián)網設備�����、Web和移動應用以及業(yè)務合作伙伴流程的入口點���。
企業(yè)網絡安全團隊已將重點轉向API安全�����,這是勢在必行的����。在數(shù)字經濟中���,API是業(yè)務的前門����,是物聯(lián)網設備��、Web和移動應用以及業(yè)務合作伙伴流程的入口點。不幸的是����,API也是犯罪分子的前門,其中許多人依靠Bot來發(fā)動攻擊��。因此��,對于安全團隊來說�,保護API并緩解Bot攻擊至關重要。
審視OWASP十大API安全漏洞�����,可以清楚地看到Bot在API攻擊中的核心地位���。十大API漏洞中有三個與Bot有直接明顯的關聯(lián)。
-身份驗證失?���。簷C器人通過暴力破解、字典攻擊和撞庫攻擊破壞身份驗證�����,導致賬戶被接管���、欺詐�、經濟損失和客戶不滿。
-無限制的資源消耗:Bot會利用無限制的資源消耗���,耗盡API的內存和處理能力����。當Bot攻擊為交互式應用程序(即人類使用的網頁和移動應用程序)設計的API時�,對性能的影響可能是災難性的。
-無限制訪問敏感業(yè)務流程:過度訪問某些業(yè)務流程可能會損害業(yè)務���。未經授權的轉售商可以買斷商品庫存��,然后以更高的價格轉售�����。垃圾郵件發(fā)送者可以利用評論/發(fā)布流程��。攻擊者可以利用預訂系統(tǒng)預訂所有可用的時間段���。在這些情況下,都是Bot造成了損害。還記得泰勒-斯威夫特(Taylor Swift)演唱會門票售罄的速度有多快嗎���?這導致了Ticketmaster應用崩潰����,無數(shù)真正的歌迷沒有搶到票����。這正是Bot攻擊引發(fā)的局面。
OWASP API十大漏洞列表中的其他七項—如安全配置錯誤���、庫存管理不善��、授權失效等漏洞—與Bot的關系并沒有那么明顯�,但攻擊者卻依靠Bot來有效發(fā)現(xiàn)并迅速利用這些漏洞�����。Corey J.Ball在其著作《黑客API》中介紹了幾種用于API發(fā)現(xiàn)(OWASP ZAP�、Gobuster����、Kiterunner)和模糊處理(Postman、Wfuzz和Burp Suite)的自動化工具的使用方法。利用這些工具�,攻擊者會向API發(fā)送數(shù)千次請求以找出漏洞。為了深入了解這種窺探行為并降低其成功幾率�����,就需要一個有效的Bot攻擊緩解系統(tǒng)��。
Bot對不同API的影響方式并不相同���。那些用于機器到機器通信并由自動化流程訪問的API(通常是內部流程或合作伙伴的流程)通常通過雙向TLS進行保護����,在這種情況下�,身份驗證失效的風險較低,并且可以根據(jù)已驗證的客戶端實施速率限制��。相反���,最容易受到Bot攻擊的是那些只用于從交互式應用程序(即人類使用的網頁和移動應用程序)獲得流量的API�。
對于期望由人類發(fā)起流量的API來說���,抵御Bot攻擊變得越來越困難����。開源庫使通過頭部指紋識別來避免監(jiān)測變得輕而易舉,而Bot運營商也可以利用廣泛可用的服務來破解驗證碼�,并通過包含數(shù)千萬個住宅IP地址的網絡驗證碼和代理請求。由于頭分析���、IP拒絕列表和驗證碼等舊技術不再有效����,應用程序安全團隊必須依靠豐富的客戶端信號收集���、JavaScript和移動SDK以及復雜的機器學習來區(qū)分攻擊工具和Bot行為��,從而減少Bot攻擊的出現(xiàn)�����。
貴企業(yè)的哪些API容易受到Bot的攻擊����?收到影響的可能性和成本是多少���?如何設計安全控制以確保必要的Bot防護措施�?這些問題都是在威脅建模中需要解決的關鍵問題�。
立即登錄,閱讀全文
閩公網安備 35010202001226號
