电子商务网站上的API攻击如何泄漏PII

news2024/11/19 2:34:57

本稳重点分享:

以影子 API为目标的 API 攻击

电子商务网站上的 API 攻击如何泄漏 PII

对 API 运行时安全性重要性的看法

API 渗透测试指南

以影子 API为目标的 API 攻击

首先是DarkReading最近的一个研究的报告,该报告显示,大约50亿(31%)恶意交易针对影子API(未知,未托管,最重要的是未受保护的API)。

 


该报告根据2022年上半年对200亿个API交易的监控,将API的三大威胁列为:

• 对 API 的最大威胁集中体现在观察到的 50 亿个针对性影子 API 的恶意请求中。这些攻击在性质上差异很大:从试图抓取网站进行交易的高容量机器人,到使用被盗信用卡的欺诈,再到简单的凭证填充攻击。

• 第二突出的威胁是API滥用,该结论是基于威胁研究团队阻止的36亿次攻击所得出的。API 滥用通常被定义为对正确编码和清单的 API 的攻击,即根据 OWASP API 安全前 10 名列表,通常不被视为易受攻击的 API。与滥用案例相关的最常见攻击媒介是兑换礼品卡或在约会和购物应用程序上创建虚假帐户。

• 第三大突出的威胁是三种常见 API 威胁的组合:撞库、影子 API 和敏感数据泄露。通过结合使用这三个漏洞,攻击者可以发起复杂的攻击来泄露 API 中的数据。

该报告还强调了帐户接管(ATO)攻击的增加。研究人员记录了针对API端点的11.7亿次恶意登录攻击。同样突出的是与成功的帐户接管攻击相关的重大成本 - 在这种情况下,约为1.93亿美元。

电子商务网站上的 API 攻击如何泄漏 PII

通过API泄露的PII,例如姓名,电子邮件,地址,购买历史记录和其他购物偏好,这种敏感信息的特殊组合可能允许攻击者根据消费者的偏好发起非常复杂的欺诈活动。

一般电子商务提供商的两个特定场景,即第三方物流(3PL)和第四方物流(4PL)。

 

在3PL的情况下,商家使用3PL提供商来处理将产品从商家运送到客户的物流。在4PL中,4PL提供商处理整个供应链。为了创建这些复杂的供应链,商家必须将下游的运输和订单信息传递给物流提供商。但正如报告所揭示的那样,这通常是以不安全的方式完成的,可能导致PII泄露。

供应链 API 实现中常见的几个漏洞,例如:

• 将 URL 中的客户信息作为查询参数传递

• 允许未经身份验证的用户使用唯一的 URL 检查其他用户的订单状态

• 使用不会过期的会话 Cookie

所有这些都可能允许攻击者收集有关其他用户的信息,被恶意使用。

为了改善电子商务 API 的安全状况,该报告提出了以下建议:

• 仅将最少的数据传输到下游提供商,以防止过度泄漏。

• 使用字符串加密(如 TLS)来防止信息在传输过程中被盗。

• 使用标准且可靠的身份验证方案,例如 OAuth2。

• 在代码级别实施对象级授权检查,以确保精细的授权控制。

• 尽可能使用多重身份验证方法。

• 避免使用未知的浏览器扩展程序,以防止 PII 和会话 Cookie 被盗。

对 API 运行时安全性重要性的看法

在整体API安全策略中,为什么将API运行时的安全性作为很重要的一部分。本文重点介绍了左移 API 安全计划的价值。还强调了用盾牌对战略来补充这种方法的重要性。

作者提供了 API 运行时安全性重要的五个主要原因:

• API 测试工具无法检测所有业务逻辑缺陷。

• 运行时安全性可以保护已经在生产中的API资产,最大限度地降低影子或僵尸API的风险

• 屏蔽权为内部 API 提供了即时掩护,这些 API 最终被重新用于公共的外部使用。

• 第三方或 COTS API 无法轻松修改以消除安全漏洞。

• 即使是一个完全安全的API也可能被滥用

API 渗透测试

最后,有一个热门话题,即API渗透测试。


正确界定 API 渗透测试范围的重要性,并考虑了以下几点:

• 确定是否需要客户端来生成请求并将其发送到 API,是否需要专用的测试工具,或者是否可以使用现有客户端?

• 了解存在哪些 API 文档以及可以提供哪些文档。

• 了解角色、身份验证方法和 API 设计

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/462998.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

20+ Prompt工具网站汇总;我用AI工具开了一家「无人公司」;如何10分钟上线一个AI导航网站;第一部AIGC中英双语图文辞典 | ShowMeAI日报

👀日报&周刊合集 | 🎡生产力工具与行业应用大全 | 🧡 点赞关注评论拜托啦! 🤖 『MidJourney Prompt工具网站』加速生成与优化,持续更新中 ShowMeAI知识星球 | 资源标签:找工具 这是一个总结…

【unity专题篇】——GUI(IMGUI)

👨‍💻个人主页:元宇宙-秩沅 👨‍💻 hallo 欢迎 点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍💻 本文由 秩沅 原创 👨‍💻 收录于专栏:uni…

tcp,udp一些列问题

(tcp,udp基本介绍,三握四挥等)七层模型主要知识点等 OSI七层模型其功能简介 分层机制体现了分治的思想,每一层为上一层提供保障屏蔽异构。 物理层:规定了一系列的物理、电气、接口标准,传输的是比特流&…

DAY05_面向对象基础

面向对象并不是一个技术,而是一种指导思想。 为什么要用面向对象编程? 因为生活中,我们解决问题时,就是采用这种指导思想去解决的。所以,我们写程序去解决问题时,如果也能采用这种指导思想就会使得程序变…

LVS+keepalived 群集

Keepalived及其工作原理 Keepalived 是一个基于VRRP协议来实现的LVS服务高可用方案,可以解决静态路由出现的单点故障问题 在一个LVS服务集群中通常有主服务器(MASTER)和备份服务器(BACKUP)两种角色的服务器&#xff…

链接伪类选择器(上)

知识点&#xff1a; 代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head> <meta charset"UTF-8"> <meta http-equiv"X-UA-Compatible" content"IEedge"> <meta name"viewport" c…

java方法的重载

java中有很多方法是可以通过重载的方式实现的&#xff0c;这是 Java语言的一大特色&#xff0c;但是同时也为开发人员带来了一些麻烦&#xff0c;不知道怎么去调用这些方法&#xff0c;而且还容易出现一种情况就是&#xff1a;明明已经调用过了一个方法&#xff0c;但为什么又要…

Ansys Zemax | 如何模拟双折射偏振器件

这篇文章介绍了什么是双折射现象、如何在OpticStudio中模拟双折射 (birefringence)、如何模拟双晶体的双折射偏振器以及如何计算偏振器的消光比。&#xff08;联系我们获取文章附件&#xff09; 什么是双折射现象 一般的光学材料都是均匀的各向同性的&#xff0c;也就是说无论光…

等级保护、风险评估和安全测评分别是什么?

2022-06-17 15:17 迈入“等保2.0时代”以后&#xff0c;我国对于等级保护的要求更为严格和具体。等级保护、风险评估和安全测评这三个词&#xff0c;也因此总是出现在人们的视野之中&#xff0c;还总是被混淆。那这三者究竟分别是什么呢&#xff1f;如何区分它们&#xff1f;它…

如何以产品经理思维打造一所高品质学校?

学校的建设与管理真不是一件容易事。2023年03月17日&#xff0c;山东菏泽市曹县一家长投诉某中学课业繁重&#xff0c;孩子经常写作业到半夜&#xff1b;2023年4月4日&#xff0c;张先生在华龙网重庆网络问政平台投诉万州区某中学伙食差&#xff0c;指出“发灰的洋葱&#xff0…

本地运行 minigpt-4

1.环境部署 参考官方自带的README.MD&#xff0c;如果不想看官方的&#xff0c;也可参考MiniGPT-4&#xff5c;开源免费可本地进行图像对话交互的国产高级大语言增强视觉语言理解模型安装部署教程 - openAI 当然&#xff0c;所有的都要按照作者说明来&#xff0c;特别是版本号…

练好基本功,优秀工程师成长第一步

计算机基础作用 举例1&#xff1a;若是我们要开发大规模应用系统&#xff0c;如电商服务系统&#xff0c;要考虑很多 1. 这个服务应用要用什么语言来编写&#xff1f; 2. 是采用单体进程&#xff0c;还是用多个进程来协同工作&#xff1f; 3. 如何管理长期使用的内存空间&a…

( 栈和队列) 155. 最小栈 ——【Leetcode每日一题】

❓155. 最小栈 难度&#xff1a;中等 设计一个支持 push &#xff0c;pop &#xff0c;top 操作&#xff0c;并能在常数时间内检索到最小元素的栈。 实现 MinStack 类: MinStack() 初始化堆栈对象。void push(int val) 将元素val推入堆栈。void pop() 删除堆栈顶部的元素。…

WiFi电子标签简介

WiFi电子标签系统概述&#xff1a; WIFI电子办公标牌系统是一种先进的无线自动更新系统&#xff0c;取代了传统的纸质标牌/桌牌需要人工更换的方式。WIFI ESL系统只需要一个电子办公标志设备&#xff0c;让它在办公或会议空间工作&#xff0c;快速改变人员或会议信息。这是一种…

Docker -compose 安装使用

命令 总结 yum install docker-compose-plugin docker compose version docker compose up docker compose up -d相关的配置。 创建docker-conpose 目录&#xff0c;并创建docker-compose.yml文件 version: 3 services: mysql: image: mysql restart: always co…

【基础算法】二叉树相关题目

系列综述&#xff1a; &#x1f49e;目的&#xff1a;本系列是个人整理为了秋招算法的&#xff0c;整理期间苛求每个知识点&#xff0c;平衡理解简易度与深入程度。 &#x1f970;来源&#xff1a;材料主要源于代码随想录进行的&#xff0c;每个算法代码参考leetcode高赞回答和…

[ICLR 2023] Token Merging: Your ViT But Faster

Contents IntroductionToken MergingExperimentsImage ExperimentsDesign choicesModel SweepComparison to Other WorksVisualizations Video ExperimentsAudio Experiments References Introduction 作者提出了一种 token 合并方法 Token Merging (ToMe)&#xff0c;能够在不…

【Tasking_IDE】-1-如何让目录下的C文件不参与编译

案例背景&#xff1a; 当您在使用Tasking TriCore Eclipse IDE集成开发环境编译时&#xff0c;是不是有时遇到这样一个问题&#xff1a;导入了一个算法/驱动文件夹&#xff0c;但文件夹里面不是所有的C文件都要参与编译&#xff0c;于是您可能想到把这些“不参与编译的文件”删…

Kafka3.0.0版本——生产者 数据去重

目录 一、数据传递语义1.1、至少一次1.2、最多一次1.3、精确一次 二、幂等性2.1、幂等性原理2.2、重复数据的判断标准2.3、如何使用幂等性 三、生产者 事务3.1、Kafka事务原理3.2、Kafka事务注意事项3.3、Kafka事务的5个API3.3.1、初始化事务API3.3.2、开启事务API3.3.3、在事务…

CMake Tutorial Step1

CMake Tutorial Step1 参考资料&#xff1a;Step 1: A Basic Starting Point — CMake 3.26.3 Documentation Tutorial工程&#xff1a;官方Tutorial工程 开发环境&#xff1a;CLion CMake简介 方便起见直接问New Bing。 为什么要学习CMake&#xff1f; CMake的最大特点和…