抵御攻击的关键——保护API-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

抵御攻击的关键——保护API

简介:
+关注继续查看

自1960年代结构化编程出现以来,API一直是软件开发的重要因素。API是一组函数或例行程序,其目的是完成特定任务或提供一种简单方法来与软件组件交互,这通常允许对通用流程进行自动化以更好地与在其他机器运行的服务交互。

现在,保护API变得越来越重要。虽然API已经被使用了几十年,而近年来Web 2.0和云计算的到来让API的数量和使用都大幅增加,目前有超过14万公共API。其中Facebook、谷歌、Twitter、eBay和Amazon提供的API可能是最著名的,还有很多其他企业也通过提供API来提供对其内部数据的访问。例如,Salesforce公司的客户可以使用其API来整合Salesforce服务到他们的系统,正如Facebook Platform API让开发人员可以创建数千应用和服务来访问Facebook数据一样。

API带来的商业机会几乎是不可抗拒的,但API提供商和API消费者需要确保API部署的安全性,让攻击者无法使用它们来攻击企业或其用户。根据云安全联盟表示,不安全的API是云计算面临的最大的威胁之一。

API安全风险的性质

API提供了对应用功能的访问权限,这意味着它们增加了攻击面,并且,攻击者会尽全力滥用或寻找流行API代码中的漏洞,因为它们可以被用来攻击大量应用和用户。为了说明这一点,让我们假设一个虚构的公司:MashOurDataInc公司,该公司提供API以允许开发人员从其数据中心提取数据。攻击者已经成功地将恶意脚本注入到主要数据库,如果MashOurDataInc公司的API代码在响应API请求发送数据之前没有清洗数据,那么,攻击者的恶意脚本可能会发送到使用MashOurDataInc的API的任意应用,这意味着成千上万的用户将受到影响。

保护API来降低风险

如果开发人员在构建应用或服务时通过API使用第三方数据,那么,在代码中使用这些API之前,开发人员必须完全明白它们的工作原理以及应该如何调用它们,以免制造潜在的漏洞。这就是说,开发人员需要阅读所有相关的API文档,其中应该包含保护API函数或例行程序的部分,例如如何调用API、需要怎样的身份验证、哪些数据将会返回以及以何种格式,可能出现哪些错误。

对正在使用的API构建威胁模型可以帮助企业了解攻击面,并确定潜在的安全问题,从而在一开始就可以构建适当的安全缓解措施。Firebug和Chrome Developer Tools等调试工具可以帮助确定和检查API生成的数据流,并突出应如何保护API。

如果应用接收第三方传输的数据,则不应该认为这些数据已经被清洗或正确验证。开发人员必须构建数据清洗和验证例行程序以防止标准注入漏洞和跨站请求伪造攻击,特别是对于传输JSON和XML消息或用户生成的内容的API,因为所有这些数据都来自不受信任来源。此外,在调用API之前,企业还需要验证用户或设备具有正确的权限来查看、编辑或删除请求的数据;很多开发人员在用户经过身份验证后没有进行二次访问控制检查。

企业开发API以允许他人来访问其内部数据系统时,应该专注于构建和测试控件来管理对API的访问权限。这些控制应该明确他人对不同类别的数据可以做什么以及不能做什么。此外,在允许查看、编辑或删除数据前应该进行二次访问控制检查。

企业还应该记录保护API的要求,这会让企业更容易确保后续代码更改仍然满足针对个人或敏感信息的数据处理政策要求。同时,企业还需要记录哪些信息应该进行日志记录以捕捉谁、什么以及何时在访问API,以满足审计要求。企业应该分析这些日志记录--最好通过安全信息和事件管理工具,从而检测和阻止任何异常行为(例如暴力攻击)。

API可以创造无数的机会来提高客户服务和互动,并可帮助提高生产效率和利润;它们甚至成为有些公司立足的产品或服务。然而,考虑到API带来的潜在风险,企业应该将风险缓解作为任何API集成战略的核心。


作者:Michael Cobb 翻译:邹铮

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6907 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4479 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5456 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
443 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16819 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3227 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
1131 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3892
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载