如何防止僵尸 API...

news2024/11/17 13:36:17

人们越来越依赖Web API。2023 年 Postman API 状况报告发现,整整 92% 的组织计划在明年增加对 API 的投资。API 正在为从内部微服务策略到合作伙伴策略和成熟产品的一切提供动力。

然而,这种新发现的API 蔓延带来了后果;迫在眉睫的威胁可能会从坟墓中升起来困扰你……

当然,我说的是僵尸 API。僵尸 API 是不再维护但仍处于活动状态的端点。它们可能是未使用的端点、从未正式弃用的旧功能或被遗忘的开发或测试环境。无论如何,僵尸 API 是一种技术债务,如果任其腐烂,可能会构成合理的威胁。

API 的突然增长,加上不成熟的库存管理和内部沟通的缺乏,可能会导致创建无数的影子端点。下面,我将回顾僵尸 API 可能导致的一些问题,并考虑 DevOps 团队可以采取的一些可行步骤来防止这些问题。

了解僵尸API风险

忘记 API 可能会导致许多问题。例如,假设一个不安全的测试环境意外地暴露在公众面前。使用自动端点扫描的攻击者可以找到可利用的身份验证和授权漏洞,从而可能泄露敏感数据。

鉴于每天都有新的漏洞和漏洞涌入,让任何一项技术得不到维护也是一个坏主意。API 的互联特性强调了这一点,API 可以插入庞大的数据库网络,并允许后端基础设施具有读写权限。

不安全的 API 可能会给企业带来经济损失和声誉损害。想想近年来发生的大量与 API 相关的数据泄露事件,这些事件发生在 Optus、Dropbox、Twitter 和 Zendesk 等公司。据估计,到 2022 年,由于 Web API 的泄露,损失将达到120 亿至 230 亿美元。

僵尸 API 很容易成为此类网络攻击的目标,因为它们往往具有不安全的设计,更容易被破解。他们还倾向于使用不成熟的监控系统,这意味着黑客可以比积极使用的端点更容易在雷达下行动。

避免僵尸API的技巧

>> 保持 API 的活跃库存

正如他们所说,你无法确保你不了解的东西。事实上,OWASP 将不当的库存管理列为十大API 安全风险之一。因此,适当的库存管理是避免僵尸 API 的良好第一步。扫描您的服务组合以查找被遗忘的端点,对其进行编目并定期更新目录。

彻底记录您的服务以帮助内部发现也是一个很好的做法。如果可能的话,采用规范优先的实践还可以确保文档和实现基于单一事实来源,从而避免版本不匹配和文档漂移。

FireTail 首席执行官 Jeremy Snyder 表示:“防止僵尸 API 的关键是可见性。” “许多组织缺乏在生产或登台环境中运行的所有 API 的持续、最新的清单。”

>> 使用正确的版本控制和生命周期策略

减少僵尸 API 机会的另一种方法是采用成熟的 API 生命周期管理实践。所选择的API 版本控制策略应明确定义和编码。并且版本控制变更应该清楚地传达给所有利益相关者。

在这一点上,从一开始就计划好日落、退役和弃用策略同样重要。然后,当已弃用的服务达到其生命周期时将其删除!这不是一项光鲜亮丽的任务,但应该将其纳入某人的任务中。

“良好的网络卫生是一项经常被忽视的策略,”斯奈德解释道。“第二个要求是制定有关版本控制的政策以及在任何给定时刻可以存在多少个 API 版本。例如,该策略可能规定只能存在最新版本或最新版本加上先前版本。然而,这依赖于可见性以保持合规性。”

正确生命周期管理的其他领域包括围绕开发和部署进行治理,以及在持续部署 (CI/CD) 管道中利用自动化测试。这两者都可以帮助制定政策和安全要求,这也应该可以增强 API 的安全性。

>> 分享内部和第三方服务的知识

部落知识是 DevOps 文化的对立面。因此,消除孤岛并共享 API 支持的服务的内部知识以限制恶意端点的传播是一种很好的做法。这可以通过专用网络存储库甚至内部邮递员集合或工作区来完成。

“组织协调和沟通等内部流程至关重要,”斯奈德补充道。“如果团队不互相告知正在开发并投入生产的新 API,安全团队就无法评估或审核它们。相反,如果应用程序团队不了解旨在涵盖各种 API 安全方面的网络基础设施资源,那么开发人员就不知道需要将哪些安全控制纳入 API 代码中。”

需要可见性才能避免僵尸API

最近的一项 CISO 调查显示,API 安全性是 CISO 最关心的问题。由于多种原因,Web API 对于攻击者来说仍然是轻而易举的事情。今年早些时候 Salt Labs 记录的恶意 API 攻击流量激增 400%就凸显了这一点。

我们还了解到,许多此类攻击都是通过经过身份验证的 API 发生的。这表明需要更大的责任和可见性来开始遏制 API 相关安全事件的浪潮。

Snyder 表示,为了达到足够的可见性,领导者应该考虑采用工具来帮助确定是否存在过时的 API 或具有多个实时版本的 API。“如果没有提供必要的代码或模块来直接保护 API,这些工具应该有助于显示实时 API 的安全性,并提供有关如何修复它们的建议。”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/984361.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

CSS:屏幕正中间有个元素A,元素A中有文字A,随着屏幕宽度的增加

始终需要满足以下条件: A元素垂直居中于屏幕***;A元素距离屏幕左右边距各10px;A元素里面的文字”A”的font-size:20px;水平垂直居中;A元素的高度始终是A元素宽度的50%; (如果搞不定可以实现为A元素的高度固定为200px;)请用 html及…

【产线故障】线上接口请求过慢如何排查?

文章目录 前言一、内存使用过高导致CPU满载案例代码分析思路 二、出现了类似死循环导致cpu负载案例代码分析思路 三、死锁案例代码分析思路 前言 首先线上接口变慢,原因可能有很多,有可能是网络,有可能是慢 SQL,有可能是服务本身…

3种轻量化框架总结

一般的卷积神经网络的参数量和计算量都很大,很难应用在资源有限的场景中。为了解决这个问题,通常是在训练好的模型上进行优化,如通过对模型压缩减少计算量和存储成本,也可以通过剪枝连接方法去掉了不重要的神经元连接或者通道修剪…

SecureCRT9.1高亮配色设置

参考:http://zh-cjh.com/qita/1623.html https://download.csdn.net/download/qq_45698138/88310255?spm1001.2014.3001.5503 1.创建文件colorful-network.ini,添加如下内容 D:"Match Case"00000000 D:"Regex Line Mode"00000000 Z:"Keyword Lis…

C语言学习:6、C语言程序的循环结构

生活中,有很多循环的东西,比如钟表就是在1到12循环,太阳东升西落也是循环,春夏秋冬也是循环,人生可能也是一个循环。 while C语言中的循环可以这么描述:当某个条件成立,就一直做某件事或某些事…

微信小程序开发---基本组件的使用

目录 一、scroll-view (1)作用 (2)用法 二、swiper和swiper-item (1)作用 (2)用法 三、text (1)作用 (2)使用 四、rich-tex…

煤矿虚拟仿真 | 采煤工人VR虚拟现实培训系统

随着科技的发展,虚拟现实(VR)技术已经逐渐渗透到各个行业,其中包括煤矿行业。VR技术可以为煤矿工人提供一个安全、真实的环境,让他们在虚拟环境中进行实际操作和培训,从而提高他们的技能水平和安全意识。 由广州华锐互动开发的采煤…

如何解决基因行业海量数据传输难题?镭速传输给出答案

基因大数据是指通过基因测序、分析和应用所产生的海量数据,它揭示了生命的奥秘和规律,对于科学研究、医疗健康、生物产业等领域具有重要的价值和意义。 随着高通量测序技术的进步,基因大数据的产量呈现爆炸式增长,预计到 2025 年…

算法笔记--最大连续1的个数Ⅲ

leetcode题目链接:1004. 最大连续1的个数 III 题目描述 给定一个二进制数组 nums 和一个整数 k,如果可以翻转最多 k 个 0 ,则返回 数组中连续 1 的最大个数 。 思路 这里可以转换思路,让题意更加明确:即,求一个最大连续区间…

pip安装报HTTPSConnectionPool错误解决方案

报错: 解决方案:添加-i https://pypi.tuna.tsinghua.edu.cn/simple/,这里是https,而不是http,网上很多为pip install gradio -i http://pypi.tuna.tsinghua.edu.cn/simple/导致未能成功。 正确为: pip in…

多元共进|2023 Google 开发者大会主旨演讲亮点回顾

2023 Google 开发者大会 今日正式拉开帷幕 一起回顾主旨演讲精华内容 收获技术新知,实现多元共进! 主旨演讲亮点合集速览 (KN recap视频) 扫码前往官网 查看主旨演讲完整回放 Google 大中华区总裁陈俊廷首先上台分享&#x…

rrweb入门

rrweb 背景 rrweb 是 record and replay the web,是当下很流行的一个录制屏幕的开源库。与我们传统认知的录屏方式(如 WebRTC)不同的是,rrweb 录制的不是真正的视频流,而是一个记录页面 DOM 变化的 JSON 数组&#x…

文件上传漏洞-upload靶场13-16关 (图片木马-文件包含与文件上次漏洞)

文件上传漏洞-upload靶场13-16关 (图片木马-文件包含与文件上次漏洞) 简介 upload靶场到了第十三关,难度就直线上升了,在最后这7关中,包含了图片木马、竞争条件等上传技巧,这些漏洞的本质,都是…

算法:数组常见套路1---双指针、取模、打擂台法

一、数组的合并–双指针[快慢指针] 1、题目: 给你两个按 非递减顺序 排列的整数数组 nums1 和 nums2,另有两个整数 m 和 n ,分别表示 nums1 和 nums2 中的元素数目。 请你 合并 nums2 到 nums1 中,使合并后的数组同样按 非递减顺…

MybatisPlus(3)

前言🍭 ❤️❤️❤️SSM专栏更新中,各位大佬觉得写得不错,支持一下,感谢了!❤️❤️❤️ Spring Spring MVC MyBatis_冷兮雪的博客-CSDN博客 一、查询投影🍭 查询投影是指在查询操作中,只选择…

管理类联考——数学——汇总篇——知识点突破——数据分析——计数原理——排列组合——单排与环排

👑 公式:—般地,n个不同元素作圆形排列,坐成圆形没有首尾之分,所以固定一人,共有 ( n − 1 ) ! (n-1)! (n−1)!种排法。如果从n个不同元素中取出m个元素作圆形排列共有 1 m C n m \frac{1}{m}C_n^m m1​Cn…

Windows Server 系统各版本及授权说明(附下载地址

本文为Windows Server系统各版本差异对比及授权说明。 会对相关目前仍主流使用的相关Windows Server系统版本和相关授权进行对比和功能说明。 WindowsServer2012 R2 Windows Server 2012 R2授权方式是按照物理CPU数量进行授权,比如物理服务器CPU插槽数量2&#xff…

企业数字化神经网络

随着数字化时代的到来,数据已经成为企业战略性资源和重要的生产要素。企业数字化转型的核心是充分开发和利用数据资源,以数据为驱动,对业务流程进行重构与创新,从而提升企业的核心竞争力。业务系统是企业数据资源的源头&#xff0…

Gitlab常用命令总结汇总

Gitlab常用命令 本地 初始化 全局变量 全局配置 git config --global user.name "your name" #设置全局用户名#git config --global uer.email "your email" #设置全局邮箱#版本库配置 git config --global color.ui true #让Gitlab显示不同的颜色…

吹爆这款制作电子图册的工具,真是太绝了

近年来,随着互联网技术的不断发展,电子图册成为了一种越来越受欢迎的展示方式。然而,对于很多人来说,制作电子图册并不是一件容易的事情。幸运的是,现在有一款神器出现了,让制作电子图册变得轻而易举。 这款…