@Luminary
2年前 提问
1个回答
解决API接口的安全弱点的方法有哪些
Simon
2年前
解决API接口的安全弱点的方法有以下这些:
为了使攻击者更加难以发现API,请确保通过仅允许有效用户访问的权限管理来控制对API文档的访问。虽然将证书固定在移动应用程序上并不能完全隐藏API端点,并且也不完美,但确实给攻击增加了额外的步骤。对Web服务器的API请求应尽可能地被混淆和控制。
不要拿用户体验作为挡箭牌,有些看起来有利于用户体验的做法,未必有利于安全性。系统返回的错误信息不应该包括错误的用户名或错误的密码,甚至不能包含错误信息的类别(用户名还是密码错误)。用于查询数据的错误消息也是如此,如果查询/搜索格式不正确或由于某种原因而无法执行,则应该返回最“没有营养”的错误信息:“糟糕,哪里出错了”。
如果将用户看到的内容范围限制为必需内容,限制关键数据的传输,并使数据查询结构未知,那么攻击者就很难对他们知道的参数进行暴力破解。
对于存储用户数据的企业,不仅仅是PII或PHI,都必须进行彻底的数据审查。在检查了存储的数据之后,应制定数据访问规则并进行测试。确保能够匿名访问的数据不涉及任何敏感数据。
审查应用程序的安全体系结构是迈向安全系统的重要第一步。请记住,API使攻击者能更高效地攻击或利用您的系统。设计安全性的目标是让API成为用户而非攻击者的高效工具。