大數(shù)據(jù)時代,信息安全正在成為全球焦點話題。無論是個人信息、商業(yè)機密,還是應(yīng)用程序開發(fā)中的API,信息與數(shù)據(jù)安全的保護至關(guān)重要。智能科技潮流下,軟件工程師表示,未來幾年API將會成為Web應(yīng)用程序前端的主要形式。而在移動互聯(lián)潮流下,應(yīng)用程序的商業(yè)價值不斷攀升,導(dǎo)致API逐漸成為網(wǎng)絡(luò)犯罪分子的目標(biāo)熱點。一旦API遭到全方位的Web應(yīng)用程序攻擊,那么必然會導(dǎo)致數(shù)據(jù)與信息安全風(fēng)險的爆發(fā)。在各種手機APP泛濫的現(xiàn)在,背后都有同樣泛濫的API接口在支撐,其中魚龍混雜,直接裸奔的Web API大量存在,安全性令人堪優(yōu)。
Imperva重拳出擊——打響API安全保衛(wèi)戰(zhàn),六大秘籍保障API安全,多樣性的解決方案,無懼各種針對API的攻擊。
當(dāng)API安全已成為開發(fā)人員和信息安全專家共同關(guān)心的話題,當(dāng)API所面臨的安全挑戰(zhàn)不斷升級,需要采取針對性的解決方案,才能夠避免危機,保衛(wèi)API,進而確保應(yīng)用程序與數(shù)據(jù)庫的安全。
Imperva SecureSphere WAF六大秘籍,可動態(tài)地了解應(yīng)用程序的行為,并將其與全球眾包且實時更新的威脅情報關(guān)聯(lián)起來,全方位識別惡意網(wǎng)站行為,攔截技術(shù)攻擊,立體式保護API安全。
拒絕篡改API參數(shù)
黑客使用最常見的攻擊手段之一,就是通過篡改輸入?yún)?shù)(字段)來探查應(yīng)用程序安全防護。此類篡改可用于逆向設(shè)計一個API,發(fā)起針對性的DDoS攻擊,暴露API導(dǎo)致數(shù)據(jù)泄露。
在此背景下,Imperva SecureSphere WAF專屬的JSON結(jié)構(gòu)和API組件,可以根據(jù)定義輕松創(chuàng)建配置文件。通過分析API并根據(jù)分析結(jié)構(gòu)來檢查API調(diào)用,以確保輸入?yún)?shù)(計數(shù)、順序等)與定義一致,阻止此類嘗試。
Imperva SecureSphere WAF自動構(gòu)建API配置文件
抵擋不良爬蟲與DDoS攻擊
根據(jù)Netflix近期所做的一項實驗顯示,通過使用DDoS爬蟲攻擊其關(guān)鍵API,造成了三分之一的網(wǎng)絡(luò)陷入癱瘓。對于部分API而言,一旦遇到爬蟲和DDoS攻擊,使其接收到無效輸入,便會用盡大量計算資源。在此背景下,DDoS攻擊可能會對API前端的Web應(yīng)用程序造成相當(dāng)大的干擾。Imperva SecureSphere WAF通過有效使用速率限制、惡意IP封殺以及反數(shù)據(jù)抓取策略,可抵擋此類攻擊。這些策略與API分析組合使用時,可為API提供全面保護。
會話Cookie篡改
通過嘗試篡改cookie,黑客攻擊可繞過安保系統(tǒng)或?qū)㈠e誤數(shù)據(jù)發(fā)送到應(yīng)用程序服務(wù)器。傳統(tǒng)Web應(yīng)用程序會遭到會話cookie篡改攻擊,API也在劫難逃。而WAF可提供覆蓋API的會話cookie保護及用戶,將保護策略應(yīng)用于API的能力。
告別中間人攻擊
API客戶端和API服務(wù)器之間的未加密連接,會導(dǎo)致大量敏感數(shù)據(jù)在黑客面前暴露無遺。由于API采用易于使用的JSON格式,使之逐漸成為數(shù)據(jù)交換的首選載體,因此不安全傳輸極易造成數(shù)據(jù)盜竊。通過Imperva SecureSphere WAF配置僅允許HTTPS,并強制執(zhí)行傳輸層安全(TLS)版本,且設(shè)置從API客戶端到API服務(wù)器的特定密碼,可規(guī)避類似問題。
執(zhí)行SSL/TLS阻止中間人攻擊
內(nèi)容操控/技術(shù)攻擊
攻擊者可能注入導(dǎo)致漏洞的惡意內(nèi)容。此類技術(shù)攻擊可能包括JSON Web標(biāo)記中毒,嘗試使用傳統(tǒng)SQL注入或獲取惡意JS代碼在幕后執(zhí)行等等。要阻止此類攻擊,需要一個具有多個簽名的WAF,將信任來源的某些IP、端口或內(nèi)容列入白名單的附加功能是避免誤報行為的必備條件。
提防API用戶跟蹤
大多數(shù)物聯(lián)網(wǎng)(IoT)設(shè)備都是使用API通道與其相應(yīng)的企業(yè)服務(wù)器進行通信。這保證了操作的穩(wěn)定性和版本化定義。在某些情況下,這些物聯(lián)網(wǎng)設(shè)備使用客戶端證書在API服務(wù)器上進行身份驗證。如果黑客從物聯(lián)網(wǎng)終端獲得對API的控制,他們可以輕松地對API的順序進行重新排列,導(dǎo)致數(shù)據(jù)泄露或不需要的操作。要防止此威脅,請查找可以基于身份驗證參數(shù)模擬API用戶行為的WAF。對于物聯(lián)網(wǎng)設(shè)備,基于客戶端證書模擬API行為的能力允許安全專家快速辨別來自這些設(shè)備的不適當(dāng)?shù)氖褂谩?/p>
基于以上六大秘籍,Imperva SecureSphere WAF可全方位保護API安全,通過確保API安全來保護應(yīng)用程序。與此同時,面對及時創(chuàng)新、創(chuàng)建和發(fā)布代碼的DevOps的風(fēng)險。還可通過WAF部署在API資源之前,通過驗證和監(jiān)控API流量來保護核心應(yīng)用程序,為應(yīng)用程序提供安全預(yù)警。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機了
- 柔宇科技未履行金額近億元被曝已6個月發(fā)不出工資
- 柔宇科技被曝已6個月發(fā)不出工資 公司回應(yīng)欠薪有補償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進,核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。