标签： API

随着针对API的攻击日益严重，OWASP组织也推出了OWASP API Security TOP 10项目，对目前API最受关注的十大风险点进行了总结，本文将结合实例对这十大风险进行解析。 近年来，越来越多的攻击者开始将目标对准API，由接口引起的攻击事件或数据泄漏事件频频发生，严重损害了企业和用户的利益， 受到各方的高度关注。 例如： Facebook 5 亿用户数据泄漏，涉及信息包括用户昵称、...

什么是 API 安全？ 应用程序编程接口 (API) 是一个软件与另一个软件互动的方式。如果一个程序或应用程序有 API，外部客户端可以向它请求服务。 API 安全是保护 API 免受攻击的过程。正如应用程序、网络和服务器可能会受到攻击一样，API 也可能成为许多不同威胁的受害者。 API 安全是 Web 应用程序安全的核心组件。大多数现代 Web 应用程序都依赖 API 来运行，而 API 允许...

APIDetector是一个强大而高效的工具，旨在测试各种子域中暴露的Swagger端点，具有独特的智能功能来检测误报。它对于从事API测试和漏洞扫描的安全专业人员和开发人员特别有用。 APIDetector特征 灵活的输入：接受一个单一的域名或一个列表的子域从一个文件。 多协议：通过HTTP和HTTPS测试端点的选项。 并发性：利用多线程加快扫描速度。 可自定义输出：保存结果到文件或打印到标准输...

随着越来越多的组织依赖 Web 应用程序和连接服务提供的自动化和规模，应用程序编程接口 (API) 安全性已变得势在必行。仅去年一年，针对客户 API 的独特攻击者就增长了 400%，这证明组织必须采取主动方法来保护这些日益有价值的服务。 但考虑到 API 技术的快速发展和威胁数量的不断增加，了解从何处以及如何开始保护 API 可能会令人难以承受。幸运的是，像开放 Web 应用程序安全项目 (OW...

2023年6月5日，OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年，今年2月时，OWASP曾发布过一个候选版（Candidate），现在终于等到了正式稳定版（stable version）。 该列表与2019版有许多相似之处，但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化；但...

企业的数据团队通常基于数据中台提供各种类型的数据API，供企业其他部门的业务应用系统使用和集成。在某些业务场景下，这些数据API还会提供给企业外部的合作伙伴，用于合作伙伴应用系统的集成，进行数据共享和交换。 数据API的滥用或不当使用、不法分子针对暴露在互联网的数据API的注入攻击等等，都会带来数据违规使用和数据泄露的安全风险，数据团队需要高效的技术手段管理数据API的数据访问。痛点需求 无法掌握...

随着互联网技术的快速发展，越来越多的应用程序需要接入第三方的API接口，而接口数据的安全问题便引起了广泛关注。本文为大家介绍10种保证接口数据安全的方案，帮助开发者更好地保护自己的接口数据。 1. 加密传输 为了避免数据在传输过程中被窃取或被篡改，我们应该采用加密传输的方式传输数据。常见的加密方式有SSL和TLS。SSL和TLS都是通过证书加密的，可以保证数据传输过程中的安全。 2. API Ke...

以下是一些可用于帮助增强API安全性的顶级工具，并简要介绍了它们的优点和功能。虽然有数百个工具未列入此列表，但这提供了一个很好的参照，说明了哪些是可用的工具，可以保护API避免遭受当今日益严重的网络攻击。 顶级API安全工具可以帮助用户抵御对重要且无处不在的软件开发接口的现代威胁。 应用程序编程接口(API)已经成为网络、程序、应用、设备以及计算领域中几乎所有东西的关键部分。对于云计算和移动计算来...

据称，ChatGPT 对创建非法内容的限制很容易绕过。 研究人员周三表示，黑客已经设计出一种绕过 ChatGPT 限制的方法，并利用它来销售允许人们创建恶意软件和钓鱼电子邮件的服务。 最近大热的 ChatGPT 是一种使用人工智能回答问题，并以模仿人类输出的方式执行任务的聊天机器人。人们可以用它来创建文档，编写基本的计算机代码，以及做其他事情。原则上，该服务会主动阻止产生潜在非法内容的请求。如果要...