應用程式程式設計介面(api)是公司企業為客戶增加其產品價值的好辦法。通過將數字資產和服務提供給更廣大的受眾,api已經發展成了核心業務重點,「api經濟」都成了商業行話中的固定片語。
api專案中,既管理訪問又保護系統,同時還參與數字生態系統的安全策略十分重要。應用程式主管必須設計、執行並監管有效api安全策略,包括api閘道器的使用。而隨著該領域的發展和業內玩家數量的增加,企業不安全api的採納所帶來的危險也在增多。事實上,到2023年,api濫用將成導致企業web應用資料洩露最為常見的攻擊方式。
舉個例子,2023年10月,facebook披露遭遇重大資料洩露,影響5000多萬個賬戶。攻擊者利用了facebook開發者api收集受影響使用者的資料資訊,包括姓名、性別和家鄉。連facebook這種首屈一指的大玩家都沒能倖免api安全問題。
api就是通往資料和應用程式的大門,在這裡融入安全與保護web應用同等重要。
為全面保護api,解決架構、devops和生產中的安全需求是重點。軟體開發生命週期(sdlc)中安全評估的拐點取決於開發團隊是在遺留應用中啟用api,還是打造新的api優先應用。雖然評估和緩解的要求大部分相同,團隊還是需要做到:
1. 對api執行動態應用安全測試(dast),為發現的漏洞建立緩解/修復計畫。
2. 為devops過程中的api實現**執行服務元件架構(sca)和靜態分析安全測試(sast)分析。
3. 在企業應用架構中使用安全設計模式。一些安全設計模式樣例包括:
自動編碼模板以防止跨站指令碼(xss)通過模板使用輸出編碼;
採用上下文輸入驗證以防止輸入攻擊;
運用同步令牌防止利用令牌的跨站請求偽造(xsrf)攻擊;
採用變數繫結防止利用物件關係對映器(orm)的sql注入;
使用加密外觀以減少密碼漏洞
在sdlc中實現健壯的反饋環,根據各類掃瞄的發現做出響應。
你可能會覺得自己已經有了解決api安全問題的管理工具,但擁有該工具還只是實現api安全的第一步。api管理工具提供的安全策略適用於邊界,但對呈上api的業務邏輯安全毫無作用。我們的目標是在軟體生命週期中嵌入應用安全(dast、sast和sca),作為整體api安全策略中的一部分,編寫出安全由內而外的api。
總之,安全評估的結果對衝刺週期中的開發及安全利益相關者來說至關重要,而上述技術可以提公升公司api的完整性和採納率。
API生態建設
為了向開發者提供良好 一致 穩定的華為api的體驗,華為通過明確 api管理六項原則 來支援開發者生態建設。1 價值原則 制定明確的可衡量的api價值指標,牽引價值提公升。2 穩定性原則 通過api版本管理,避免和減少對開發者的影響,保證api穩定性。3 易用性原則 api設計要面向開發者,提供從學...
如何建設企業入侵防禦體系
對於防守方來說,可以針對公司的整個系統架構,在不同的維度採取響應的防守策略,攻擊者一般都是通過低維度進行攻擊一步一步到達高維度的,比如先尋找業務邏輯找到上傳點,然後根據不同的平台製作不同的webshell檔案,拿到shell後再利用系統的漏洞進行提權等,一步一步由淺入深。作為防守方,制定完善的安全策...
windows安全防禦
從windows xp vista windows 7 windows 8直至現在的windows 10,各個系統的使用感覺是完全不一樣的,要論系統的體驗,沒有哪乙個能比windows xp經典,不過要論系統的安全性,就屬windows xp最差了。儘管人們對微軟安全認知一直被掩蓋在其產品功能的光環...