最新资讯
Myasiacloud亚洲云海将定期为各位更新行业最新资讯、科技新闻、相关产品知识以及技术分享,带您快速掌握云端产品的发展。
如何保护 API 免受 Bot 攻击?
移动和物联网设备的广泛采用,公共云中托管的新兴“无服务器”架构以及对机器对机器通信的日益增长的依赖是对现代应用程序架构进行更改的原因。
应用程序编程接口(API)已成为促进不同应用程序体系结构之间通信的桥梁。API允许更快地集成和更快地部署新服务。此外,DevOps需要端到端流程自动化,该流程利用API进行服务供应,平台管理和连续部署。
尽管部署迅速且广泛,但API的保护仍然很差,并且自动化威胁不断增加。由于机器人攻击,个人身份信息(PII),支付卡详细信息和关键业务服务受到威胁。
Bot攻击API的症状
•单个HTTP请求(来自唯一的浏览器,会话或设备)
•错误率增加(例如HTTP状态代码404,数据验证失败,授权失败等)
•单个IP的应用程序使用率极高地址或API令牌
•来自大型分布式IP地址的API使用量突然增加
•与合法用户相比,对用户/会话/ IP地址/ API令牌的GET / POST与HEAD请求比例很高
关键API漏洞和自动攻击
身份验证缺陷和帐户接管。当请求来自真实用户时,许多API不会检查身份验证状态。攻击者以不同的方式利用此类漏洞,例如会话劫持和帐户聚合,以模仿真正的API调用。攻击者还对移动应用程序进行反向工程,以发现如何调用API。如果将API密钥嵌入到应用程序中,则可能会违反API。API密钥不应用于用户身份验证。网络罪犯还会执行凭证填充攻击来接管用户帐户。
缺乏健壮的加密。许多API在API客户端和服务器之间缺乏可靠的加密。攻击者通过中间人攻击来利用漏洞。攻击者拦截未加密或保护不佳的API事务,以窃取敏感信息或更改事务数据。而且,移动设备,云系统和微服务模式的普遍使用使API安全更加复杂,因为现在涉及多个网关来促进各种Web应用程序之间的互操作性。流经所有这些通道的数据的加密至关重要。
业务逻辑漏洞。API容易遭受业务逻辑滥用。这正是为什么需要专用的bot管理解决方案的原因,以及为什么应用对Web和移动应用程序都有利的检测启发式方法会产生许多错误的原因-错误肯定和错误否定。
端点安全性差。大多数物联网设备和微服务工具都经过编程,可以通过API通道与服务器进行通信。这些设备使用客户端证书在API服务器上进行身份验证。黑客试图从物联网终端获得对API的控制权,如果成功,他们可以轻松地对API顺序重新排序,从而导致数据泄露。
欲了解我们的 CDN服务,欢迎点击及浏览我们相关的网页:亚洲云海高防御CDN 坚实防御无上限!