ITHarD.COM | 市场速递 | IT 资讯 | 评测中心 | 厂商动态 | E特影像
设为首页
联络我们
关于我们
站点导航
 www.ithard.com  www.ithard.com  www.ithard.com  www.ithard.com  www.ithard.com  www.ithard.com  www.ithard.com
您现在的位置:首页 > 今日速递 > 最新资讯

API安全保卫大作战之六大锦囊

发布时间:[2018-3-13] │来源:IThard.com │作者:易特网
给身边的小伙伴们也看看吧:

易特网 讯:

大数据时代,信息安全正在成为全球焦点话题。无论是个人信息、商业机密,还是应用程序开发中的API,信息与数据安全的保护至关重要。智能科技潮流下,软件工程师表示,未来几年API将会成为Web应用程序前端的主要形式。而在移动互联潮流下,应用程序的商业价值不断攀升,导致API逐渐成为网络犯罪分子的目标热点。一旦API遭到全方位的Web应用程序攻击,那么必然会导致数据与信息安全风险的爆发。在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的Web API大量存在,安全性令人堪优。


Imperva重拳出击——打响API安全保卫战,六大秘籍保障API安全,多样性的解决方案,无惧各种针对API的攻击。


当API安全已成为开发人员和信息安全专家共同关心的话题,当API所面临的安全挑战不断升级,需要采取针对性的解决方案,才能够避免危机,保卫API,进而确保应用程序与数据库的安全。


Imperva SecureSphere WAF六大秘籍,可动态地了解应用程序的行为,并将其与全球众包且实时更新的威胁情报关联起来,全方位识别恶意网站行为,拦截技术攻击,立体式保护API安全。


拒绝篡改API参数


黑客使用最常见的攻击手段之一,就是通过篡改输入参数(字段)来探查应用程序安全防护。此类篡改可用于逆向设计一个API,发起针对性的DDoS攻击,暴露API导致数据泄露。


在此背景下,Imperva SecureSphere WAF专属的JSON结构和API组件,可以根据定义轻松创建配置文件。通过分析API并根据分析结构来检查API调用,以确保输入参数(计数、顺序等)与定义一致,阻止此类尝试。



Imperva SecureSphere WAF自动构建API配置文件


抵挡不良爬虫与DDoS攻击


根据Netflix近期所做的一项实验显示,通过使用DDoS爬虫攻击其关键API,造成了三分之一的网络陷入瘫痪。对于部分API而言,一旦遇到爬虫和DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。在此背景下,DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。Imperva SecureSphere WAF通过有效使用速率限制、恶意IP封杀以及反数据抓取策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。


会话Cookie篡改


通过尝试篡改cookie,黑客攻击可绕过安保系统或将错误数据发送到应用程序服务器。传统Web应用程序会遭到会话cookie篡改攻击,API也在劫难逃。而WAF可提供覆盖API的会话cookie保护及用户,将保护策略应用于API的能力。


告别中间人攻击


API客户端和API服务器之间的未加密连接,会导致大量敏感数据在黑客面前暴露无遗。由于API采用易于使用的JSON格式,使之逐渐成为数据交换的首选载体,因此不安全传输极易造成数据盗窃。通过Imperva SecureSphere WAF配置仅允许HTTPS,并强制执行传输层安全(TLS)版本,且设置从API客户端到API服务器的特定密码,可规避类似问题。



执行SSL/TLS阻止中间人攻击


内容操控/技术攻击


攻击者可能注入导致漏洞的恶意内容。此类技术攻击可能包括JSON Web标记中毒,尝试使用传统SQL注入或获取恶意JS代码在幕后执行等等。要阻止此类攻击,需要一个具有多个签名的WAF,将信任来源的某些IP、端口或内容列入白名单的附加功能是避免误报行为的必备条件。


提防API用户跟踪


大多数物联网(IoT)设备都是使用API通道与其相应的企业服务器进行通信。这保证了操作的稳定性和版本化定义。在某些情况下,这些物联网设备使用客户端证书在API服务器上进行身份验证。如果黑客从物联网终端获得对API的控制,他们可以轻松地对API的顺序进行重新排列,导致数据泄露或不需要的操作。要防止此威胁,请查找可以基于身份验证参数模拟API用户行为的WAF。对于物联网设备,基于客户端证书模拟API行为的能力允许安全专家快速辨别来自这些设备的不适当的使用。


基于以上六大秘籍,Imperva SecureSphere WAF可全方位保护API安全,通过确保API安全来保护应用程序。与此同时,面对及时创新、创建和发布代码的DevOps的风险。还可通过WAF部署在API资源之前,通过验证和监控API流量来保护核心应用程序,为应用程序提供安全预警。

1 1 


微信公众号搜索"IThard"加关注,每日最新的手机、电脑、汽车、智能硬件信息可以让你一手全掌握。推荐关注!【微信扫描下图可直接关注】


免责声明:本文仅代表作者个人观点,与本网站无关,请读者仅作参考!如果您有产品软文需要发布,可以直接点击(含科技/游戏/家电/互联网资讯等)与编辑交谈,我们将选择有亮点的信息发布。
文章搜索

搜索内容:

|||   本栏目推荐新闻
俄罗斯锁定出线名额,波兰小爆冷遗憾抱负——精彩球讯尽在中国电信
俄罗斯二连胜 锁定出线名额——用电信王卡看世界杯,精彩不容错过
品质售后俱佳!华硕主板闪耀315
华硕主板天猫年货节大促:每满600减30
燃情开学礼 华硕笔记本整机三年质保
超薄GTX1080游戏本来袭 ROG GX501塑造电竞新风尚

|||   本栏目本月热点
斗鱼直播一姐冯提莫继卢本伟后再次被“央视点名”
阿里鱼卡9元起:UC全免流 限时激活福利更多
三岁的瓜子二手车 消费者维权的血泪史
如何看爽2018世界杯?用这些电视就可以
开赛倒计时!vivo X21世界杯非凡版胜利红限量开售
仅半年投诉量占行业50% 瓜子二手车投诉踢皮球 车友维权路漫漫

版权所有 Copyright © 2002--2017 www.IThard.com All Rights Reserve