API安全应用场景系列之三：API业务防护

我们分享的“API业务异常侦测”中，我们通过Imperva API业务异常侦测解决方案自动化形成API业务基线（同时可导出Swagger文件），基于基线我们可以针对业务进行异常检测；同时作为API安全防护的闭环措施，安全团队可以把业务异常侦测解决方案中基于Catalog Report生成的Swagger文件，作为安全基准导入到Imperva WAF设备，形成API应用白名单，利用WAF的防护特性对API应用进行安全防护

Imperva – SDK是一个用于Python的Imperva WAF Open API SDK，它允许Python开发人员编写与Imerva管理平台 通信的软件，通过imperva-sdk，用户可以管理和配置MX，包括以JSON文件的方式倒入，进行配置

●通过SDK倒入与业务同事核对过的Swagger文件，作为API的防护Policy，准确性高，不需要WAF再进行学习，马上可以进行防护阻拦，提高了安全性

●通过SDK实现Swagger文件的倒入形成防护Policy，可以与API业务CI/CD流程结合，实现业务的全自动化发布，适应API业务的快速变化

通过使用DDoS攻击关键应用API，造成了三分之一的网络陷入瘫痪。

对于部分API而言，一旦遇到DDoS攻击，使其接收到无效输入，便会用尽大量计算资源。

DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。

Imperva WAF通过有效使用速率限制、恶意IP封杀等策略，可抵挡此类攻击。这些策略与API分析组合使用时，可为API提供全面保护。

Imperva WAF的速率限制的维度有多种选择，而且与其他判断条件一起进行组合，提供足够的灵活性。

Imperva WAF的ThreatRadar是Imperva的威胁情报，实施对各种恶意IP的识别和封堵，减少DDoS的风险，对API 应用进行保护。

Web API是现代Web和移动应用程序的支柱，Imperva WAF用自动的积极安全模型保护你的API，检测应用程序中的漏洞，防止它们被利用。

攻击者通过尝试攻击对象级别授权的API接口，来获得未经授权的数据，比如通过可预测订单ID值来查询所有订单信息。

开发者对API身份认证机制设计存在缺陷或无保护设计，导致身份认证机制无效，比如弱密码、无锁定机制而被暴露破解等。

未对API做资源和速率限制或保护不足，导致被攻击。比如用户信息接口未做频次限制导致所有用户数据被盗。

如通过修改HTTP方法，从GET改成DELETE便能访问一些非授权的API。

也就是本来应该只能是能够看某个人的某条信息，但结果我直接用了一个 users ，我没做任何授权，就把所有人的用户都返回回去了。

系统配置错误导致API的不安全，比如传输层没有使用TLS导致中间人劫持;异常堆栈信息未处理直接抛给调用端导致敏感信息泄露。

与OWASP Web安全注入类型相似，主要指SQL注入、NoSQL注入、命令行注入、XML注入等

对于API资产的管理不清，比如测试环境的、已过期的、低版本的、未升级补丁的、影子API等接口暴露，从管理上没有梳理清楚，导致被黑客攻击。

缺失有效的监控和日志审计手段，导致被黑客攻击时缺少告警、提醒，未能及时阻断

●END●