运城达内培训API接口常见漏洞都有哪些类型


[日期:2021-10-21 02:28]   来源:    阅读:

API应用程序接口管理对于程序员来说是需要熟练掌握和应用的一个编程技术,下面我们就通过案例分析来了解一下,API接口常见漏洞都有哪些类型。

运城达内培训API接口常见漏洞都有哪些类型

一:资产管理不当

此API缺陷是环境隔离和管理不足的结果,允许攻击者访问安全性不足的API端点,在之前的网络安全事件中,就有由于开发人员API无需编辑即可访问生产数据,进而暴露了客户的系统,属于此类别的漏洞还包括未监控开发API中的敏感数据,以及让已弃用的API仍处于在线或公开状态。

二:受损的对象级别授权BrokenObjectLevelAuthorization(BOLA)

BOLA的通俗定义是对对象访问请求的验证不充分,它允许攻击者通过重用访问令牌来执行未经授权的操作。Peloton事件是近诸多BOLA利用中比较有名的一个案例,攻击者可以查看包括标有私人事件在内的,几乎所有用户的个人资料。此类攻击可能影响到从开发到运营,再到营销和公共关系的每个业务组。

三:无效的用户身份验证

此类漏洞的准确定义是“身份验证机制中的实施缺陷”,允许攻击者冒充合法用户。这里关联两种常见的漏洞利用类型:一个是由自动化机器人执行的凭证填充。查找有用户身份验证缺陷的API是自动攻击的理想目标。此漏洞的更复杂用途是进行侦察,以确定API的工作方式。攻击者将使用此数据点来增加凭证填充(或其他类型的攻击)成功的机会。

【免责声明】本文系本网编辑部分转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与管理员联系,我们会予以更改或删除相关文章,以保证您的权益!更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销,赚更多好礼。


友情链接: