向日葵-漏洞科普:如何高效預(yù)防API漏洞?向日葵教你網(wǎng)絡(luò)防護(hù)知識(shí)

  • 人閱讀
  • 2022-08-29 16:07:46

  • 來(lái)源:頭條新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

向日葵首先和大家科普下,API一般是指應(yīng)用程序接口,主要用于軟件系統(tǒng)之間銜接的相關(guān)約定。當(dāng)應(yīng)用程序與開(kāi)發(fā)人員基于某個(gè)軟件或者硬件,進(jìn)行訪問(wèn)銜接的約定,則是被稱為API。API無(wú)需訪問(wèn)源碼,現(xiàn)如今已經(jīng)成為APP經(jīng)濟(jì)的粘合劑。根據(jù)向日葵分析,開(kāi)放的API已經(jīng)出現(xiàn)在桌面應(yīng)用商店,越來(lái)越多的Web應(yīng)用也向開(kāi)發(fā)者開(kāi)放了API的權(quán)限,導(dǎo)致了API同樣也存在攻擊漏洞。

對(duì)此向日葵漏洞小課堂提示,API的運(yùn)行方式是與URL類似的,其可以實(shí)現(xiàn)獲取用戶地理位置、賬號(hào)、余額等功能,同時(shí)API也包括所有防護(hù)檢查,檢查完畢后便與后端服務(wù)進(jìn)行連接,因此API漏洞也變得越來(lái)越常見(jiàn)。那么如何有效預(yù)防API漏洞呢?

圖形或者手機(jī)驗(yàn)證碼

利用手機(jī)驗(yàn)證碼或者圖形驗(yàn)證碼,是較為常見(jiàn)防止惡意攻擊的方法,同時(shí)也是十分有效的。向日葵認(rèn)為當(dāng)用戶需要銜接API時(shí),可以通過(guò)手機(jī)或者圖形驗(yàn)證碼來(lái)進(jìn)行驗(yàn)證,這樣就能夠有效避免漏洞被調(diào)用或者攻擊。

歸屬地匹配

向日葵漏洞小課堂提醒:利用服務(wù)器端檢查用戶所在地的IP是否與手機(jī)號(hào)碼歸屬地匹配,也是能夠有效預(yù)防API漏洞的,如果在不匹配的情況下,則是需要增加多次手動(dòng)操作流程。

使用https:

作為協(xié)議服務(wù)的https訪問(wèn),同樣利用在API銜接也是具有明顯效果。據(jù)向日葵了解,https需要秘鑰的交換,因此通過(guò)API接口開(kāi)啟訪問(wèn)https的方式,可以有效辨別API是否出現(xiàn)漏洞,或者是非真人IP地址。

服務(wù)器端代理

采用服務(wù)器代理,可以有效解決API真實(shí)接口地址的暴露。API漏洞問(wèn)題,無(wú)論是對(duì)于企業(yè)還是個(gè)人來(lái)說(shuō),都是具有一定威脅的,因此向日葵建議大家了解API的相關(guān)風(fēng)險(xiǎn),以及防護(hù)措施,是非常重要的。

限制請(qǐng)求次數(shù)

一般API接口連接的次數(shù),都不可能是無(wú)限次的,因此【向日葵漏洞小課堂】提倡限制請(qǐng)求次數(shù)。不管是同一IP地址還是同一設(shè)備,在時(shí)間范圍內(nèi)限制接口請(qǐng)求次數(shù)是非常重要的,例如同一號(hào)碼發(fā)送請(qǐng)求的間隔時(shí)間為60秒,每天最大發(fā)送量為10次,這些防護(hù)手段能夠有效針對(duì)API漏洞。

增加流程條件

完善的用戶注冊(cè)信息,是能夠有效預(yù)防API漏洞的,向日葵指出,在用戶注冊(cè)流程當(dāng)中,增加流程條件,并且把短信驗(yàn)證放在最后流程當(dāng)中,成效是十分明顯的。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )