@不喜丶不悲
2年前 提问
1个回答
API的攻击面包括哪些
delay
2年前
API的攻击面主要有以下几点:
传统WEB攻击:API承担了WEB应用前后端的通信,API出现RCE、SQL注入等WEB漏洞属于常态。
API协议攻击:API除了plain HTTP、REST等可复用传统安全能力的协议之外,仍有诸多协议标准,如GRPC、Dubbo、GraphQL等,其攻击面、漏洞测试方式与入侵检测方式,与传统WEB安全有着明显差异。在复杂业务架构中,WEB HTTP API只是冰山一角,这些新兴的API通信标准在后端占比越来越重。
数据安全:API承载了应用各组件间数据的流动。在数据安全领域,我们需要关注API携带了哪些敏感数据、对谁开放、对方如何使用这些数据等问题。企业被爆出数据泄露事件屡见不鲜,除了数据库被攻陷之外,其中很大部分是导致携带敏感数据的API鉴权出问题,导致外部攻击者通过不断访问API拖取敏感数据。
业务安全:从API视角解决爬虫、撞库、刷单、薅羊毛等业务安全问题,尤其是2C端app的API管控。