标签： API安全

在数字化时代的今天，API（应用程序接口）的广泛应用和深入推广，为我们的生活带来了便利，也对企业的数据安全提出了全新的挑战。针对这一情况，OWASP API Security向我们提供了一份宝贵的API安全风险清单，帮助我们理解和应对API安全隐患，实现更安全的数据流通。 OWASP API Security是一项专注于API安全的研究项目，旨在唤醒公众对API潜在风险的认识，提醒开发人员和安全人...

随着针对API的攻击日益严重，OWASP组织也推出了OWASP API Security TOP 10项目，对目前API最受关注的十大风险点进行了总结，本文将结合实例对这十大风险进行解析。 近年来，越来越多的攻击者开始将目标对准API，由接口引起的攻击事件或数据泄漏事件频频发生，严重损害了企业和用户的利益， 受到各方的高度关注。 例如： Facebook 5 亿用户数据泄漏，涉及信息包括用户昵称、...

最强的免费Web应用、API防护产品之一，南墙WAF v6.6.0 发布。 南墙WAF技术特色： 1.智能0day防御，创新性的异常检测机器学习技术，有效拦截0day漏洞。 2.极致的CDN加速，业内领先的任意条件CDN缓存加速和清理功能。 3.强大的主动防御，支持内核级主机主动防御和RASP运行时应用防御。 4.先进的语义检测引擎，包含SQL、XSS、RCE、LFI 4种语义检测引擎。 5.高级...

什么是 API 安全？ 应用程序编程接口 (API) 是一个软件与另一个软件互动的方式。如果一个程序或应用程序有 API，外部客户端可以向它请求服务。 API 安全是保护 API 免受攻击的过程。正如应用程序、网络和服务器可能会受到攻击一样，API 也可能成为许多不同威胁的受害者。 API 安全是 Web 应用程序安全的核心组件。大多数现代 Web 应用程序都依赖 API 来运行，而 API 允许...

1. 概述 Application Programming Interfaces (API) 是软件组件之间的接口规范。大多数的功能测试包含了Web页面测试或.net表单类的用户界面测试，而API测试绕过了用户界面通过调用API接口与应用程序直接进行通信。 API 自动化测试是一种使用自动化工具来测试 API 的方法。它可以帮助开发人员快速准确地测试 API 的功能、性能和可靠性，从而提高开发效率...

APIDetector是一个强大而高效的工具，旨在测试各种子域中暴露的Swagger端点，具有独特的智能功能来检测误报。它对于从事API测试和漏洞扫描的安全专业人员和开发人员特别有用。 APIDetector特征 灵活的输入：接受一个单一的域名或一个列表的子域从一个文件。 多协议：通过HTTP和HTTPS测试端点的选项。 并发性：利用多线程加快扫描速度。 可自定义输出：保存结果到文件或打印到标准输...

随着越来越多的组织依赖 Web 应用程序和连接服务提供的自动化和规模，应用程序编程接口 (API) 安全性已变得势在必行。仅去年一年，针对客户 API 的独特攻击者就增长了 400%，这证明组织必须采取主动方法来保护这些日益有价值的服务。 但考虑到 API 技术的快速发展和威胁数量的不断增加，了解从何处以及如何开始保护 API 可能会令人难以承受。幸运的是，像开放 Web 应用程序安全项目 (OW...

背景需求 伴随着云计算、大数据、人工智能等技术的蓬勃发展，移动互联网、物联网产业加速创新，移动设备持有量不断增加，Web 应用、移动应用已融入生产生活的各个领域。这一过程中，应用程序接口（Application Programming Interface，API）作为数据传输流转的重要通道发挥着举足轻重的作用。API 技术不仅帮助企业建立与客户沟通的桥梁，还承担着不同复杂系统环境、组织机构之间的数...

2023年4月的某一天，腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的，也就是最大的风险敞口，需要重点排查。 Leo下载APP进行测试后，发现该医院存在一个严重的问题，可能导致百万级敏感数据泄露…… 他发现医院APP存在GraphQL接口，可通过其自省功能获取所有API接口。 GraphQL是目前最为流行的查询语言之一，它能够让API变得轻...

网络安全建设效果检验，还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗，更贴近事实，成为检验关键信息基础设施系统网络安全防护能力的常态化方式。 尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁，但随着组织数字化进程的加快以及业务的迅速发展，总有一些跟不上变化的风险点拖了后腿。今天就一起盘一盘那些在实战攻防能力建设过程中容易被忽略的风险点并提供相应的防护策略。 ...

2023年6月5日，OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年，今年2月时，OWASP曾发布过一个候选版（Candidate），现在终于等到了正式稳定版（stable version）。 该列表与2019版有许多相似之处，但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化；但...

企业的数据团队通常基于数据中台提供各种类型的数据API，供企业其他部门的业务应用系统使用和集成。在某些业务场景下，这些数据API还会提供给企业外部的合作伙伴，用于合作伙伴应用系统的集成，进行数据共享和交换。 数据API的滥用或不当使用、不法分子针对暴露在互联网的数据API的注入攻击等等，都会带来数据违规使用和数据泄露的安全风险，数据团队需要高效的技术手段管理数据API的数据访问。痛点需求 无法掌握...

2023年4月13日 ，F5发布全新的应用安全功能，为企业提供全方位的安全防护和控制，赋能企业高效管理跨本地、云和边缘的应用和API。值得一提的是，此次全面升级的机器学习技术更是为F5的云安全组合带来了先进的API端点发现、异常检测、遥测和行为分析功能。随着越来越多的交易和用户参与开始依赖于网络和移动应用等数字化渠道，企业正在寻求更好的解决方案，以为终端用户提供更安全的体验，并持续赢得他们对企业的...

随着互联网技术的快速发展，越来越多的应用程序需要接入第三方的API接口，而接口数据的安全问题便引起了广泛关注。本文为大家介绍10种保证接口数据安全的方案，帮助开发者更好地保护自己的接口数据。 1. 加密传输 为了避免数据在传输过程中被窃取或被篡改，我们应该采用加密传输的方式传输数据。常见的加密方式有SSL和TLS。SSL和TLS都是通过证书加密的，可以保证数据传输过程中的安全。 2. API Ke...

允许弱密码，是最容易导致账号风险的API缺陷之一。 威胁猎人《2022年API安全研究报告》曾列举了五大最受关注的API缺陷，其中就包含“允许弱密码”，报告提到： 虽然很多安全开发规范都要求密码设置需满足一定强度，但2022年仍有不少API接口，甚至是部分管理后台的登录接口，存在“允许弱密码”的缺陷，引发账号泄露事故。 那么，“允许弱密码”是什么？具体有哪些风险和危害呢？ “允许弱密码”是指：AP...