欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• 受影响的谷歌云账户被用于开采加密货币(主要源于API连接密码薄弱或没有密码)。
• 一篇关于如何使用GraphQL作为API网关(包括安全控制)的文章。
• 一个API安全指南。
漏洞分析
泄露的谷歌云帐户被用于挖掘加密货币
最令人担忧的是,由于云用户缺乏基本防护措施,这些帐户可能会被泄露。最常见的问题和漏洞(影响了48%的实例)是用户帐户密码薄弱或没有密码,允许攻击者轻易访问云实例的API连接。其他的攻击包括在云实例中安装第三方软件及通过GitHub存储库泄漏凭证。
文章分享
充当API网关的GraphQL
本周,Tj Blogumas发表的一篇文章,介绍了一种使用GraphQL作为API网关的新方法。
Blogumas描述了在采用微服务体系结构时遇到的一个典型的设计问题:如何在不暴露后台微服务网格的复杂性的前提下,为用户呈现单个前端。从传统视角来看,这是API网关领域的问题,但Blogumas演示了GraphQL前端是如何发挥同样作用的。
此处最令人感兴趣的点是,如何在GraphQL网关级别实现安全控制,而不是在后台微服务API中实现。该方法的关键优势是:关键安全控制集中在一处——只在网关级别实现一次,而不是在单个API中。这减轻了开发团队的负担,也降低了这种控制被意外忽略的可能性。
Blogumas给出了以下可实现的安全控制类型的示例:
• 限制深度:通过降低允许查询的深度来减少DoS攻击带来的影响。
• 限制速率:通过降低向特定API端点发出请求的速率以减轻DoS攻击或暴力攻击的影响。
• 限制查询成本:通过减少过于复杂的查询来减少DoS攻击频率。
关于这个API架构,我们之后还会和大家分享更多相关信息。
安全指南
“API安全”指南
本周为大家介绍André Rainho的“API安全”指南
该指南非常全面,涵盖了以下主题:
• 工具
• 思维导图
• 清单和备忘单
• 培训、演练和实验室
• 枚举和扫描
• 模糊测试和API密钥
• 防火墙
• 图像、视频、播放列表和播客
• 设计和架构
• 规范
点击文末左下角“阅读原文”可查看“API安全”指南更多详细内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 谷歌云帐户漏洞分析及API文章分享