API安全问题常常得不到解解决
该份报告的内容强调,尽管在软件开发生命周期(SDLC)和测试工具方面已经做出了改进,但通常情况下,API安全性往往会被忽视,业务优先的原则更追求的是快速的将产品推向市场,而API安全正是在此时被抛到脑后,许多组织依赖于传统的网络安全解决方案,但我们应该看到的是大多数解决方案的设计初衷并不是为了保护API可能会带来的广泛攻击面。
Akamai安全研究员拉根表示:“从被破坏的认证和注入缺陷到简单的配置错误,对于任何构建联网应用程序的人来说,都存在许多API安全问题。”
“API攻击既未被检测到,也未被报告。虽然DDoS攻击和勒索软件都是主要问题,但对API的攻击并没有得到同等程度的关注,这在很大程度上是因为攻击者利用API的方式不如利用勒索软件攻击那样引人注目,但这并不意味着它们应该被忽视。”
API漏洞存在于何处对于多数企业或人员而言,大多都并不清楚。例如,API通常隐藏在移动应用程序中,导致人们普遍认为它们不会被操纵。开发人员经常会假设用户只能通过移动用户界面(UI)与API进行交互,但正如报告中指出的那样——事实并非如此。
Veracode首席研究官英格表示:“将OWASP前10名与OWASP API安全前10名进行比较。后者旨在解决API的“独特漏洞和安全风险”,但仔细观察,你会发现所有相同的Web漏洞,只是顺序略有不同,描述的词语略有不同。更让人恼火的是,API调用更容易,而且通过涉及可以更快地实现自动化——这把双刃剑对开发者和攻击者都有利。”
攻击流量的激增表明API漏洞持续存在
该报告还详细分析了2020年1月至2021年6月期间18个月的攻击流量,发现总共有超过110亿次攻击企图。SQL注入(SQLi)仍然是web攻击趋势列表的榜首,有62亿次攻击记录;其次是本地文件包含(LFI)(33亿次)和跨站点脚本攻击(XSS)(10.19亿次)。
该报告的其他要点:
·在2020年1月至2021年6月的18个月期间跟踪的伪造证书攻击保持稳定,在2021年1月和2021年5月记录的单日攻击超过10亿次。
·在此期间,美国是网络应用程序攻击的头号目标,其流量几乎是排名第二的英国的六倍。美国的网络流量几乎是俄罗斯的四倍,在攻击源名单上排名第一。
·到目前为止,DDoS流量在2021年保持稳定,峰值出现在2021年第一季度。2021 年 1 月,单日记录了 190 起 DDoS 事件,其次是 3 月份的 183 起。
京公网安备 11010802033237号
