REST API面临的7大安全威胁

在传输过程中或静止状态下由于缺乏加密而导致的敏感数据的暴露可能导致攻击。当应用程序无法正确保护敏感数据时，就会发生敏感数据公开。这些信息可能不同于私人健康信息、信用卡信息、会话令牌、密码等，而且更容易受到攻击。敏感数据要求很高的安全性，除了与浏览器交换时非常安全的做法外，还包括在静止或传输时进行加密。

为了避免暴露敏感数据，必须使用SSL。

今天，您可以使用Let's Encrypt获得免费证书。SSL和TLS在以几乎最小的努力消除基本API漏洞方面大有作为。

要获得关于实现有多好的优秀报告，请针对Qualys SSL服务器测试运行URL。

5. 打破访问控制

访问控制，在某些情况下称为授权，是web软件允许某些人而不是每个人访问功能和内容的方式。缺少或不充分的访问控制可以使攻击者获得对其他用户帐户的控制、更改访问权限、更改数据等。

当开发人员没有正确配置操作级可访问性，从而导致访问漏洞时，公司应用程序访问往往会受到攻击。访问中断是访问控制中断的最著名后果，而访问控制的利用是攻击者的主要手段。

访问控制可以通过使用手动方法来检测，甚至可以通过某些框架中缺乏访问控制的自动化来检测。如果在可靠的服务器端或服务器端API中实现访问控制，则访问控制通常是有效的，攻击者将无法更改访问控制元数据。

6. 参数篡改

攻击,是基于客户机和服务器之间交换操作的参数来修改应用程序数据,如用户凭证和权限,价格和数量的产品,等。通常,这些信息存储在cookie中,隐藏的表单字段,或URL查询字符串,用于增加应用程序的功能和控制。

当一个有害的网站、程序、即时消息、博客或电子邮件使用户的internet浏览器在一个授权站点上执行不必要的操作时，就会发生这种情况。它允许攻击者使用目标的web浏览器使目标系统执行某个功能，而被攻击的用户可能在未执行授权事务之前并不知情。

攻击的成功依赖于完整性和逻辑验证机制错误，其利用可能导致其他后果，包括XSS、SQL注入、文件包含和路径公开攻击。

您应该仔细验证接收到的URL参数，以确保数据表示来自用户的有效请求。无效的请求可以用来直接攻击API，或者针对API背后的应用程序和系统。将验证器放在应用程序上，并尝试对发送到REST API的请求使用API签名。为您的API创建自动安全测试也很好，这样可以看到没有参数篡改影响您的REST API。

7. 中间人攻击( Man-In-The-Middle-Attack)

它是指攻击者在两个交互系统之间秘密地更改、截取或中继通信，并截取它们之间传递的私有和机密数据。MITM攻击发生在两个阶段:拦截和解密。

HTTP和缺乏TLS

在API中缺少传输层安全(TLS)实际上相当于向黑客发出公开邀请。传输层加密是安全API中最基本的“必备功能”之一。除非使用TLS，否则相当常见的“中间人”攻击的风险仍然很高。在api中同时使用SSL和TLS，特别是在API公开的情况下。

结论

在开发REST API时，您必须从一开始就注意安全性。考虑使用具有许多内置安全特性的现有API框架。我们使用的是SugoiJS API框架，我们还对其代码库以及测试和安全指导做出了贡献。通过这种方式，安全性被统一地内置，开发人员可以专注于应用程序逻辑。

在这之后，不要忽略分配资源来测试API的安全性。确保测试本文中提到的所有安全威胁。

【编辑推荐】

1. 基于Web攻击的方式发现并攻击物联网设备
2. DDoS攻击原理及防护探究
3. 活动目录下的常见攻击方式
4. F5吴静涛：产品+服务才是防御DDoS攻击的利器
5. 揭秘：人工智能带来的网络安全威胁

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!