企业应关注API安全

关键要点

网络安全威胁不断演变，企业需要重视其应用程序编程接口API的安全性。尽管防火墙和网络应用防火墙WAF是必要的防护措施，但仅依赖这些工具并不足够。许多攻击源于程序编码错误，尤其是缺乏有效的访问检查。开发者需要更关注逻辑访问检查，以避免数据泄露事件发生。提高安全意识和实施严格的数据访问控制是保护用户数据的重要步骤。

在网络威胁日益演变的今天，企业仍然主要专注于外围安全，常常忽视了其应用程序编程接口API内部可能存在的漏洞。

我们讨论的是防火墙和网络应用防火墙WAF，以及如今必不可少的安全类别API安全。法规和合规要求企业必须部署这些工具，当然，有些公司可能会因此感觉更安全。我们并不反对这些工具，恰恰相反，但认为企业不能因为拥有这些保护措施就认为自己免于外部攻击，这是错误的。更何况，通常这些工具的配置并不理想，无法有效保护企业及其客户。

所有这些工具的主要问题在于：它们的核心是基于自动检测。检测型安全工具会有攻击模式的剧本，试图寻找这些模式。任何被标记的请求都会被阻止。但它们都有一个固有的缺陷它们仅关注那些试图滥用系统的恶意行为者，而忽视了那些使用有效但不安全功能的用户。因此，我们不能完全依赖这些工具。因为一旦真正的攻击发生，而这些工具未能捕捉到，安全团队该如何有效管理风险？

进行安全威胁建模已经成为设计安全系统时的一个关键步骤，亦即安全设计。而现在，仅依靠基于检测工具的外围安全已不再合适。

有时候，发送到网络服务器的请求是合法的，而这些自动工具可能不会标记并报告它们。结果，安全团队就会被蒙在鼓里。祝你保护客户好运。请记住，网络API旨在接收请求并发送数据回来。向WAF和API安全致以崇高的敬意最好的安全模式是适当的访问检查和必要的用户输入验证。

许多安全专家可能认为攻击者非常聪明，像大家所描述的那样，但在简单的通过API进行数据抓取的情况下并不是如此。

Duolingo最近的数据泄露事件强调了这一疏忽。此类漏洞的根源通常在于软件编码，特别是缺乏严格的访问检查，这对于保护用户隐私至关重要。这并不是一个新问题。

实际上，开放网络应用安全项目OWASP早已对此类问题发出了警告。然而，正如Duolingo事件所示，即便是大公司，有时也会忽视这些警告。我们讨论的是Duolingo系统中API的实施缺乏适当的数据访问检查。没有任何自动工具能够实时阻止这种情况。

安全专家称这个问题为访问漏洞，而OWASP也一直在更改其名称，因为这些缩略词并不容易记忆或快速理解，比如BOLA和IDOR。这意味着攻击者可以请求API访问系统中另一个对象，而攻击者并不一定拥有该对象。这种情况不应该发生。我们通常可以在浏览器中看到带有奇怪参数的URL，看上去类似于以下的虚假链接：

https//acmecom/system1/webserviceop=fetchdocampdocid=A

仔细查看这个URL，用户会看到一个名为“docid”的参数，该参数接收文档标识符。当网络应用接收到此请求时，它会尝试返回请求的文档。然而，如果文档A并不属于攻击者，会发生什么呢？从逻辑上讲，安全专家会知道系统不应该返回该文档，因为这是个错误。

当开发者忘记编写涵盖逻辑访问检查的代码时，我们不能

加速器梯子