日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用。特別是疫情常態(tài)化后，協(xié)同辦公、在線教育、直播短視頻等線上應(yīng)用蓬勃發(fā)展，API在其中既能夠起到連接服務(wù)的功能，又可以用來傳輸數(shù)據(jù)，隨著API的絕對數(shù)量持續(xù)增長，通過API傳遞的數(shù)據(jù)量也飛速增長。

與此同時，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)。據(jù)Salt Security《State of API Security Report, Q3 2021》報告顯示，2021年上半年，整體API流量增長了141%，API攻擊流量則增長了348%，針對API的攻擊流量正在以普通API流量的3倍速度增長。報告還發(fā)現(xiàn)，安全問題在API項目關(guān)注的名單中名列前茅，很少有受訪者認(rèn)為他們有信心識別和阻止API攻擊。

這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面，一旦成功攻擊API，就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。除此之外，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個API都具有良好的訪問控制，被遺忘的影子API和僵尸API，為攻擊者提供了唾手可得的機(jī)會。相對于傳統(tǒng)Web窗體，攻擊API的成本更低、價值更高。

正因如此，2021年發(fā)生了很多重量級的API攻擊事件，引發(fā)了社會各界的廣泛關(guān)注，例如：黑客通過API漏洞入侵了7億多Linkedln用戶的數(shù)據(jù)，并在暗網(wǎng)上出售這些數(shù)據(jù)；黑客攻擊Parler網(wǎng)站的API安全漏洞，非法獲得1000萬用戶超過60TB的數(shù)據(jù)；Clubhouse因API安全漏洞泄露了130萬條用戶記錄。

可以預(yù)見，2022年針對API的攻擊將成為惡意攻擊者的首選，越來越多的黑客利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐，為API構(gòu)建安全防護(hù)體系已勢在必行。

新興網(wǎng)絡(luò)威脅下，傳統(tǒng)API網(wǎng)關(guān)局限性凸顯

一個嚴(yán)峻的事實(shí)是，API發(fā)展到現(xiàn)在，授權(quán)認(rèn)證體系已經(jīng)比較完善，但是在授權(quán)之后訪問的控制相對薄弱。管控的顆粒度因API接口業(yè)務(wù)需要而不同，在帶來訪問便利的同時，也可能被惡意利用，帶來信息泄漏和被濫用的風(fēng)險。API設(shè)計之初就是為程序調(diào)用準(zhǔn)備的，天然是工具行為，利用自動化工具通過合法授權(quán)下的API濫用,已成為API攻擊的難題。從API的提供方角度，為使用和管理的方便，過度的API開放和寬泛的API調(diào)用參數(shù)返回，既可能被惡意利用，也可能無形中造成信息泄漏和被濫用的風(fēng)險。因此傳統(tǒng)API安全網(wǎng)關(guān)提供的身份認(rèn)證、權(quán)限管控、速率限制、請求內(nèi)容校驗(yàn)等安全機(jī)制幾乎無用武之地。

例如，身份認(rèn)證機(jī)制可能存在單因素認(rèn)證、無口令強(qiáng)度要求、密碼明文傳輸?shù)劝踩[患，而訪問授權(quán)機(jī)制風(fēng)險通常表現(xiàn)為用戶權(quán)限大于其實(shí)際所需權(quán)限。同時，即使建立了身份認(rèn)證、訪問授權(quán)、敏感數(shù)據(jù)保護(hù)等機(jī)制，有時仍無法避免攻擊者以機(jī)器模擬正常用戶行為、運(yùn)用大量代理IP進(jìn)行大規(guī)模攻擊等多種方式來避免速率限制。

在如今互聯(lián)網(wǎng)的開放場景下，API的應(yīng)用和部署面向個人、企業(yè)、組織機(jī)構(gòu)等不同用戶群，是外部網(wǎng)絡(luò)攻擊的主要對象之一，因此更需時刻警惕外部安全威脅。針對API的常見網(wǎng)絡(luò)攻擊包括：重放攻擊、DDoS 攻擊、注入攻擊、會話 cookie 篡改、中間人攻擊、內(nèi)容篡改、參數(shù)篡改等，這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化、自動化。

解鈴還須系鈴人，提前預(yù)防常見的API漏洞，盡可能的保護(hù)API的安全

1、圖形驗(yàn)證碼

將圖形校驗(yàn)碼和手機(jī)驗(yàn)證碼進(jìn)行綁定，在用戶輸入手機(jī)號碼以后，需要輸入圖形校驗(yàn)碼成功后才可以觸發(fā)短信驗(yàn)證，這樣能比較有效的防止惡意攻擊。目前大部分應(yīng)用都是采用這種方式。

2、限定請求次數(shù)

在服務(wù)器端限定同一IP地址，同一設(shè)備，同時間范圍內(nèi)的接口請求次數(shù)。比如同一號碼重復(fù)發(fā)送的時間間隔,一般為60或120秒;設(shè)置每個IP每天最大的發(fā)送量;設(shè)置單個手機(jī)號每天的最大發(fā)送量。

3、流程條件限定

將手機(jī)短信驗(yàn)證放在最后進(jìn)行，比如需要用戶必須注冊后，或者用戶必須填寫了某些條件才能進(jìn)行短信驗(yàn)證。

4、歸屬地是否一致

服務(wù)器端檢查用戶的IP所在地與手機(jī)號歸屬地是否匹配，如果不匹配則提示用戶手動操作等。

5、服務(wù)器接口驗(yàn)證

當(dāng)用戶登錄成功后，返回一個由Token簽名生成的秘鑰信息(Token可使用編碼和md5加密，可以放在請求的Header中)，然后對每次后續(xù)請求進(jìn)行Token的封裝生成，服務(wù)器端在驗(yàn)證是否一致來判斷請求是否通過。

(1) 常規(guī)的方法：用戶登陸后生成token，返回客戶端，然后服務(wù)器使用AOP攔截controller方法，校驗(yàn)token的有效性，每次token是一樣的;

(2) 用戶登陸后生成臨時token，存到服務(wù)器，并返回客戶端，客戶端下次請求時把此token傳到服務(wù)器，驗(yàn)證token是否有效，有效就登陸成功，并生成新的token返回給客戶端，讓客戶端在下一次請求的時候再傳回進(jìn)行判斷，如此重復(fù)。 這種方法有性能問題，但也有一個漏洞，如果用戶在一次請求后，還未進(jìn)行下一次請求就已被黑客攔截到登錄信息并進(jìn)行假冒登錄，他一樣可以登錄成功并使用戶強(qiáng)制下線，但這種方法已大大減少被假冒登錄的機(jī)會。

(3) 兩層token：一般第一次用賬號密碼登錄服務(wù)器會返回兩個token，時效長短不一樣，短的時效過了之后，發(fā)送時效長的token重新獲取一個短時效，如果都過期，那么就需要重新登錄了。當(dāng)然更復(fù)雜你還可以做三層token，按照業(yè)務(wù)分不同token。

6、采用https

線上的api接口開啟https訪問,這樣做的被抓包的難度會提高很多，而且https需要秘鑰交換，可以在一定程度上鑒別是否為偽造的網(wǎng)絡(luò)非真人IP地址。

7、服務(wù)器端代理請求

這也是解決網(wǎng)站跨域的方案之一，采用服務(wù)器代理可以有效的防止接口真實(shí)地址的暴露。