人妻蜜と1~4中文字幕月野定规 ,国产精品成人va在线播放,色优久久久久综合网鬼色,WWW插插插无码视频网站

基于 API 的網(wǎng)絡攻擊風險不斷升級,如何出奇制勝?
發(fā)布時間:2023-10-31

隨著云計算、移動應用和物聯(lián)網(wǎng)高速發(fā)展,API(應用程序編程接口)正被廣泛應用。作為現(xiàn)代應用的基本組成部分,API 使開發(fā)人員能夠迅速集成第三方服務、豐富功能并推動創(chuàng)新。無論是擴展醫(yī)療保健服務還是推動電子商務,API 都已經(jīng)無縫地融入到我們數(shù)字生活的基礎中。也正因此,利用 API 漏洞進行的網(wǎng)絡攻擊正頻繁發(fā)生。


01 API 的網(wǎng)絡攻擊數(shù)據(jù)泄露事件頻發(fā)


以下幾個公司的案例展示了 API 安全性不足所帶來的潛在風險。


Quest Diagnostics

由于第三方 API 中的漏洞,美國頂級臨床實驗室服務提供商之一的 Quest Diagnostics 發(fā)生了重大數(shù)據(jù)泄露。攻擊者利用了第三方支付頁面中的此漏洞(可通過暴露的API訪問),最終導致約 1190 萬名患者的醫(yī)療記錄被未經(jīng)授權訪問。



Latitude Financial

總部位于墨爾本的 Latitude Financial 在 2023 年 3 月發(fā)生了嚴重的數(shù)據(jù)泄露事件,導致超過 1400 萬條記錄被泄露。受影響的數(shù)據(jù)包括近 800 萬個駕駛執(zhí)照、53000 個護照號碼和多份月度財務報表。



Dropbox

2022 年 11 月 1 日,網(wǎng)絡罪犯成功地侵入了托管在 GitHub 上的 Dropbox 內部代碼倉庫。這次未經(jīng)授權的訪問涉及了 130 個內部代碼倉庫,其中一些存儲了 API 密鑰和用戶數(shù)據(jù)。攻擊者通過發(fā)送類似于? CircleCI?(一種廣泛使用的 CI/CD 任務流平臺)的欺騙性電子郵件來實施網(wǎng)絡釣魚活動。收件人被引導至一個偽造的 CircleCI 網(wǎng)頁,并被提示輸入他們的 GitHub 憑據(jù)。隨后,他們收到了一次性密碼請求,這增加了欺騙性。



Peloton

2021 年 5 月,一名安全研究人員發(fā)現(xiàn)互動健身平臺 Peloton 存在一個漏洞,在該漏洞中,可以向 Peloton 的后端 API 提出未經(jīng)驗證的請求,而這些 API 是其運動設備和訂閱服務不可或缺的組成部分。這個漏洞允許直接訪問 Peloton API 端點,可能會暴露大量個人身份信息(PII),從而影響 Peloton 客戶的隱私。盡管 Peloton 最終解決了 API 漏洞,但其客戶的 PII 暴露程度仍不確定。



02 加強 API 安全性:Fortify API 安全測試十大優(yōu)勢


由于基于 API 的漏洞越來越多,企業(yè)越來越致力于加強對 API 相關風險的了解和控制。在尋求 API 安全測試解決方案時,F(xiàn)ortify 可以幫助您有效識別 API 的弱點和漏洞。以下是 Fortify 在滿足 API 安全測試需求方面的十大獨特優(yōu)勢:


01 廣泛的 API 安全評估


Fortify 提供全面的 API 安全測試方法,包括動態(tài)分析 (DAST) 和靜態(tài)分析 (SAST)。這樣就能在開發(fā)生命周期的各個階段檢測 API 中的漏洞和安全缺陷。Fortify 具備混合分析的獨特能力,確保從更全面的角度看待 API 安全性,這使其有別于該領域的許多專業(yè)競爭對手。


02 真實的測試場景


許多 API 需要身份驗證才能訪問敏感數(shù)據(jù)或執(zhí)行重要操作。在沒有身份驗證的情況下對 API 進行測試可能會產(chǎn)生虛假的安全感。Fortify 具備處理各種 API 身份驗證方法(包括MFA)的能力,有助于模擬真實情況,從而提高安全性測試的準確性和相關性。


03 API 攻擊面評估


對一個應用程序中包含的 API 有深入了解,使安全測試人員能夠全面評估應用程序的攻擊面。這確保了潛在的漏洞或入口點不會被忽視。Fortify DAST 具備在抓取網(wǎng)絡應用程序時利用 schema 和 Postman 等工具發(fā)現(xiàn) API 的能力。


04 為企業(yè)量身定制的可擴展性


Fortify 的設計針對可擴展性進行了優(yōu)化,以滿足企業(yè)級應用程序的需求,使其成為擁有復雜而龐大的 API 環(huán)境的企業(yè)的理想選擇。


05 數(shù)據(jù)流分析


API 在規(guī)范應用程序內部數(shù)據(jù)流動方面發(fā)揮著關鍵作用。Fortify SAST 的數(shù)據(jù)流分析器能夠發(fā)現(xiàn)涉及被污染數(shù)據(jù)的安全問題,這些數(shù)據(jù)被用于潛在的危險用途。這種分析使得 Fortify SAST 能夠精確地識別許多不同類型的安全問題。


06 無縫集成


Fortify 可與知名開發(fā)工具、CI/CD 任務流和問題跟蹤系統(tǒng)無縫集成。這簡化了開發(fā)團隊將 API 安全測試無縫集成到既定工作流程中的過程。


07 第三方風險評估


許多應用程序依賴于第三方 API 和服務。當涉及到評估與第三方相關的安全風險時,識別這些依賴關系至關重要。第三方 API 中的漏洞或安全弱點可能直接影響應用程序的整體安全性。


08 安全配置評估


API 可能需要特定的配置才能安全運行。Fortify 會評估這些配置是否被正確部署,降低了由于配置錯誤導致的安全問題的風險。


09 支持法規(guī)和政策遵從


Fortify 提供的功能可以幫助企業(yè)遵循與 API 安全性相關的合規(guī)要求(包括 OWASP API 安全十大原則和 GDPR 等法規(guī))。


10 強調補救措施


并非應用程序中的所有 API 都具有相同程度的風險。Fortify 提供全面的報告和可行的指導,以解決 API 中已識別的安全問題。這樣就能采取有針對性的補救措施,將資源用于管理敏感數(shù)據(jù)或執(zhí)行關鍵功能的 API(因為這些 API 通常風險較高)


隨著 API 在現(xiàn)代應用架構中不斷發(fā)揮關鍵作用,基于 API 的網(wǎng)絡威脅日益嚴重。從醫(yī)療保健到金融等各個行業(yè),API 的易集成性和快速創(chuàng)新使其變得不可或缺。然而,對 API 接口的日益依賴也使其成為網(wǎng)絡罪犯尋求可利用漏洞時的重點目標。


上文列舉的幾起備受矚目的惡性事件揭示了安全性不足的 API 所帶來的風險。這些泄露事件導致了敏感信息的曝光,由此可見強化 API 安全性措施是重要且必要的。


如果您正在擴大應用程序安全的工作范圍,并計劃將 API 安全納入其中,F(xiàn)ortify 可提供全面的解決方案,助您解決 API 安全測試難題。


文章來源公眾號:MicroFocus


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


關于億道電子

上海億道電子技術有限公司是國內資深的研發(fā)工具軟件提供商,公司成立于2009年,面向中國廣大的制造業(yè)客戶提供研發(fā)、設計、管理過程中使用的各種軟件開發(fā)工具,致力于幫助客戶提高研發(fā)管理效率、縮短產(chǎn)品設計周期,提升產(chǎn)品可靠性。

十多年來,先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰(zhàn)略合作伙伴關系,并作為他們在中國區(qū)的主要分銷合作伙伴服務了數(shù)千家中國本土客戶,為客戶提供從芯片級開發(fā)工具、EDA設計工具、軟件編譯以及測試工具、結構設計工具、仿真工具、電氣設計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經(jīng)驗積累,真正的幫助客戶實現(xiàn)了讓研發(fā)更簡單、更可靠、更高效的目標。

歡迎關注“億道電子”公眾號

了解更多研發(fā)工具軟件知識