API风险

news2024/11/6 9:28:26

©网络研究院

从表面上看,API帮助企业连接应用程序并相互共享数据。这为客户和用户创造了更简单、更无缝的体验。

如果你曾经使用你的谷歌账户登录过多个网站或应用程序,那么你很有可能使用的是谷歌开发的API。

像这样的API在后台工作,为许多被认为是理所当然的简化用户体验提供动力。

因此,我们需要确保跨移动应用的更强的API安全性,否则它们的所有好处都将化为乌有。

被盗的API密钥是迄今为止一些最大的网络攻击背后的罪魁祸首。我们看到头条新闻,阅读新闻故事,但我们往往没有意识到广泛的后果,特别是对企业移动安全的显著影响。

想想今年早些时候的新闻,3000多个移动应用程序泄露了推特的API密钥,这意味着坏人可能会危及数千个个人账户,并进行一系列恶意的活动。

想象一下,如果这是你的公司,角色互换,数百甚至数千个移动应用程序将API密钥泄露给你的公司Gmail、Slack或OneDrive帐户。

如果这种或类似的情况发生,员工设备和敏感的公司数据将面临极大的风险。最近对API安全性的关注发生在一个关键时刻,越来越多的企业依赖于企业移动性,这意味着越来越依赖于移动应用程序连接。

最近对美国和英国的安全主管和移动应用程序开发人员的调查发现,74%的受访者认为移动应用程序对企业成功至关重要。

此外,移动应用程序还被发现有助于企业赚取收入,并使客户能够获得服务。此外,在同一调查中,45%的受访者表示,针对使移动应用程序离线的API的攻击将对他们的业务产生重大影响。

这些结果只是证实了我们已经知道的事情:移动应用对企业移动性和生产力至关重要。

API安全风险会导致整个设备被接管

虽然API有很多优点,但它们在移动应用程序中无处不在的使用也是一个明显的缺点。当你考虑到许多企业依赖第三方应用程序和API时,尤其如此。

如果您认为这些第三方与您和您的企业有着相同的安全顾虑和程序,请三思。第三方通常是数据泄露的罪魁祸首,正如最近第三方黑客攻击导致澳大利亚最大的电信公司遭受重大数据泄露所证明的那样:影响成本仍在量化。

对企业来说更困难的是,移动应用程序:尤其是驱动它们的APIs通常比电脑上的网页更容易受到网络攻击。每次使用一个app,即使是在后台运行,也是通过调用来收发数据,这是你的设备最容易受到攻击的时候。

威胁参与者可以利用这些API调用或设备与应用之间的请求来窃取数据。

由于应用程序存在于设备本身,威胁者有可能劫持整个设备,使存储在设备上的信息面临巨大风险。无论设备是公司所有还是个人所有,员工可以访问的每台设备上都可能存储有某种形式的公司数据。

保护企业移动设备和数据免受API漏洞的攻击

这些易受攻击的API不仅威胁到企业的利润、声誉和生存能力,还威胁到企业及其客户和合作伙伴的敏感数据。

幸运的是,有一些方法可以抵御这些威胁。首先,集中精力创建对企业应用程序面临的威胁的共同理解,这对于级别设置非常重要。

这将使人们更加意识到这样一个事实,即员工手机上的企业移动应用程序会将企业数据泄露出去,除非这些应用程序得到管理或明确隔离。

更好地防范易受攻击的API的一个重要步骤是开发一种策略,将数据与设备本身分离开来。这个过程被称为集装箱化。利用高级加密功能并确保数据在其传输、传输和存放阶段都是安全的,这是另一个关键因素。

推荐使用AES 265位加密。此外,组织应该考虑采用更强大的身份认证流程来保护敏感数据。

寻求利用API漏洞的威胁参与者带来了许多挑战,随着API攻击面的不断扩大,这些挑战只会越来越多。

虽然这些顾虑初看起来令人望而生畏,但企业可以主动采取措施来保护其企业应用程序和设备。

在开发过程中构建额外的安全性是一个很大的进步,但这有时是一种奢侈,依赖第三方应用程序的企业负担不起或无法洞察。

这就是为什么企业必须从战略角度考虑这些应用程序如何与企业数据交互,并创建额外的身份验证步骤来保护数据。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/128194.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

极狐gitlab-runner的安装

1)下载系统对应的二进制文件 # Linux x86-64 sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64 2)赋予执行权限 chmod x /usr/local/bin/gitlab-runne…

Faster RCNN网络源码解读(Ⅱ) --- Faster RCNN源码使用

目录 一、源码链接 二、环境配置 三、文件结构 四、预训练权重下载地址 五、训练集 六、训练方法及注意事项 七、大概看一下训练过程(train_mobilenetv2.py) 一、源码链接 Faster R-CNN源码链接https://pan.baidu.com/s/1SQjyLXD47H11ke05OXY…

基于javaweb的学院社团管理系统(idea+servlet+jsp)

一、系统简介 本项目采用idea工具开发,jspservletjquery技术编写,数据库采用的是mysql,navicat开发工具。 系统一共分为3个角色分别是:管理员,学生,社长 获取方式:基于javaweb的学院社团管理系…

VisualStudio2015安装不上的解决方法_选择对应msi_依然报错继续选择---VisualStudio2015工作笔记001

这个visualstudio网上竟然有卖的,真的是太~咱啥也不说了~ 好了说解决办法吧; 1.这里完整版大小挺大的6G多,但是这里我们找的有可能是只有3.8G左右的,这个版本的就是有文件损坏...但是这个版本是可以装上的,也不耽误用的,我亲自测试了. 2.因为很久没写vb.net程序了,想写个小程…

Docker中安装宝塔

1、docker拉取ubuntu系统 docker pull ubuntudocker pull ubuntu 2、运行容器 docker run -i -t -d --name bt -p 2000:20 -p 2100:21 -p 8000:80 -p 4430:443 -p 8880:888 -p 8888:8888 --privilegedtrue -v /d/baota:/www/wwwroot ubuntu -v后的/d/baota代表本地D盘的bao…

【LeetCode】二叉树中的最大路径和 [H](递归)

124. 二叉树中的最大路径和 - 力扣(LeetCode) 一、题目 路径 被定义为一条从树中任意节点出发,沿父节点-子节点连接,达到任意节点的序列。同一个节点在一条路径序列中 至多出现一次 。该路径 至少包含一个 节点,且不一…

擎创技术流 | ClickHouse实用工具—ckman教程(8)

2022年即将迎来终点,各大公司和网站开始出“年终使用报告”了,而关于ClickHouse系列分享也来到了尾期。本系列最初一共规划了10期内容,一转眼就只剩最后2期了,初衷就是单纯的技术分享,如果你能从中得到启发&#xff0c…

圣诞节来临,TikTok上圣诞相关产品销量突破5万单丨超店有数

12月25日,圣诞节正式来临。TikTok卖家和达人如何把握住这个一年一度的「西方春节」,如何实现精准选品,快速爆单。凡事预则立,不预则废。快人一步,掌握趋势,抢占先机。 从谷歌趋势观察,一周内「…

图说Netty服务端启动过程

我们知道Netty是一个基于JDK的nio实现的网络编程框架,那Netty的服务端是怎么启动的呢,包括他是何时register 的,何时 bind 端口的,以及何时开始读取网络中的数据的? 让我们带着这个疑问,通过一个官方的例子…

webRTC 实现人脸识别

首先我们需要先了解一下什么是webRTC 他能做什么 webRTC主要是帮我们处理多媒体应用,如音视频通话,屏幕共享都可以实现,主要基于浏览器API调用,其底层浏览器会调用native C 等一些库帮我们实现的,而我们在应用层掉API …

欧科云链荣获人民网匠心技术奖,科技创新共造企业发展“强引擎”

什么是匠心精神? 是简单的事情重复做 重复的事情用心做 是对自己热爱的事物 不断坚持、不断钻研的精神 昨日,由人民网主办的“2022人民财经高峰论坛”成功举办,论坛还公布了“第十九届人民匠心奖”获奖名单。欧科云链携旗下“链上天眼”产品荣…

第三十七章 数论——博弈论

第三十七章 数论——博弈论一、Nim游戏1、题目2、结论3、结论验证4、代码二、台阶——Nim游戏1、问题2、思路2、代码三、集合——Nim游戏1、问题2、思路—SG()函数2、代码实现(记忆化搜索)一、Nim游戏 1、题目 2、结论 这里直接说结论: 假设…

vue导入私有组件和注册全局组件

目录先下载并配置插件导入私有组件注册全局组件先下载并配置插件 导入的时候需要路径,有个符号,但不能提示路径,需要手打路径,会发现很麻烦,这时候可以通过vscode插件来解决 vscode搜索Path Autocomplete 配置插件,点击插件设置—扩展设置,点开任意一个setting.json中编辑,打开…

Yield Guild Games 和 Axie Infinity:迄今为止的旅程

2022 年,菲律宾被认为是全球应用 web3 的中心,在 Chainalysis 的全球加密货币应用指数中排名第二,在拥有最多 MetaMask 用户的国家中排名第三。虽然该国作为 Coins.ph 和 BloomX 等开创性数字资产交易所以及对加密货币友好的 UnionBank 的所在…

Flutter生命周期

一、组件生命周期 flutter组件只有两种:有状态和无状态组件。由于无状态组件效率高,如果不涉及到组件内部的数据存储,尽量多的使用无状态组件 1、StatelessWidget build:组件渲染 调用次数:1次 StatelessWidget是无状…

MYSQL索引和sql优化

基本 索引是帮助数据高效查询的有序数据结构,没有索引进行查询就会进行全表扫描myisam中的.MYI和innodb中的.idb都是存放索引的文件。索引提高查询效率的同时,也降低了更新表的数据,因为数据库中删改查会维护索引的结构。一般提到的索引就是…

安装mysqlclient失败解决办法

简介 系统:MAC 前因:django使用mysql数据库报错django.core.exceptions.ImproperlyConfigured: Error loading MySQLdb module.Django使用MySQL数据库需要加载 MySQLdb模块,需要安装 mysqlclient(django2.2以前安装pymysql&#…

ipsec 建立正常后业务端口测试通过但是业务访问故障

某公司ipsec 分支和总部对接成功后,检查发现两端业务测试正常。分支和总部服务器可以互访,分支测试总部服务器80端口开放正常,排除两侧因策略的影响。但是总部服务器web业务和数据库业务均出现无法访问,web页面打不开,…

Es初步检索命令

1、_cat GET /_cat/nodes:查看所有节点 请求 : http://192.168.107.129:9200/_cat/nodes 响应 : 127.0.0.1 15 95 8 0.19 0.16 0.24 dilm * 32bb46713f1b GET /_cat/health:查看 es 健康状况 请求 : http://192.16…

kali - 通过抓包获取FTP连接密码

数据来源 开始实验 实验目标:在win2003主机部署一台FTP服务器,然后winXP通过账户密码连接2003主机的FTP服务器,kali虚拟机抓取数据包获取密码。 实验拓补图 实验流程: 1、开启虚拟机并配置IP 我这里开了一台Kali、一台window…