历史上的今天
今天是:2024年10月28日(星期一)
2021年10月28日 | Akamai发现API漏洞对全球公司和个人均具有很高的风险
2021-10-28 来源:EEWORLD
Akamai发现API漏洞对全球公司和个人均具有很高的风险
Akamai的最新安全研究探讨了全球API安全状况;揭示了2020至2021年间的攻击流量趋势
2021年10月28日——负责保护和交付数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)今天发布了最新研究报告,其中分析了与应用程序编程接口(API)有关的、不断变化的威胁态势。Gartner曾指出,API到2022年将成为使用最频繁的在线攻击向量。作为Akamai《互联网安全状况》系列报告中的最新一期报告,《API:与每个人息息相关的攻击》(API: The Attack Surface That Connects Us All)这份新报告的特别之处在于Akamai和Veracode研究人员合作贡献的内容,其中包括Veracode首席研究官Chris Eng撰写的一篇特邀文章。
API本质上充当了不同平台之间的快速简易管道。便利性和用户体验的重要性导致API成为了许多企业必不可少的工具,但这也使它们成为了对于网络犯罪分子极具吸引力的目标。Akamai的报告重点介绍了破坏性的API漏洞模式,尽管其在软件开发生命周期(SDLC)和测试工具方面已经有了改进,但情况仍不容乐观。当企业急于推出API时,往往要到事后才会考虑API安全性,而许多企业依赖于传统的网络安全解决方案,但这些解决方案无法充分保护API可能引入的广泛攻击面。
Akamai安全研究员兼《互联网安全状况报告》作者Steve Ragan指出:“从遭到破坏的身份验证和注入缺陷,到简单的错误配置,任何构建联网应用程序的人都会面临不计其数的API安全问题。企业无法充分检测API攻击,即使检测到此类攻击,也可能会被漏报。DDoS攻击和勒索软件都是企业关注的重要问题,而API攻击并没有得到同等程度的关注,这在很大程度上是因为,犯罪分子使用API发起的攻击无法像执行到位的勒索软件攻击那样引发轰动效应,但这并不意味着应该忽视API攻击。”
企业并不总是能够知晓API漏洞位于何处。例如,API经常隐藏在移动应用程序中,导致人们认为它们无法被犯罪分子操纵。开发人员假设用户只会通过移动用户界面(UI)与API进行交互,但正如本报告所指出的,情况并非如此。
Veracode首席研究官Chris Eng表示:“将OWASP十大漏洞与OWASP十大API安全漏洞进行比较。后者声称体现了API的‘独特漏洞和安全风险’,但仔细看,您会看到其中列出了完全相同的Web漏洞,顺序稍有不同,并采用了略微不同的文字描述。为了提高效率,API调用经过了专门设计,使得用户可以更轻松、更快地自动执行调用——这是一把双刃剑,既有利于开发人员,也有利于攻击者。”
攻击流量激增表明API漏洞持续存在
报告中还详细提到,Akamai审查了2020年1月至2021年6月间(18个月)的攻击流量,发现总攻击次数超过110亿次。凭借记录到的62亿次攻击,SQL注入(SQLi)仍然在Web攻击趋势列表中排在首位,其次是本地文件包含(LFI)(33亿次)、跨站点脚本攻击(XSS)(10.19亿次)。
虽然很难在上述攻击中确定纯粹的API攻击所占的比例,但致力于提高软件安全性的非营利性基金会——开放Web应用程序安全项目(OWASP)最近发布了一份10大API安全漏洞清单,该清单基本与Akamai的调查结果一致。
其他报告要点包括:
● 在2020年1月至2021年6月的18个月中,追踪到的撞库攻击保持稳定,在2021年1月和2021年5月记录到了超过10亿次攻击的单日峰值。
● 在此观察期内,美国是Web应用程序攻击的首要目标,其遭遇的攻击流量是排名第二的英国的近六倍。
o 美国也在攻击来源清单中名列前茅,它从俄罗斯手中夺走了第一名,其发出的攻击流量几乎是俄罗斯的四倍。
● 到目前为止,2021年的DDoS流量一直保持稳定,在2021年第一季度早期记录到了峰值。2021年1月,Akamai在一天内记录了190起DDoS事件,随后在3月记录了183起。
阅读Akamai 2021年《API:与每个人息息相关的攻击》(API: The Attack Surface That Connects Us All)报告,请访问Akamai的互联网状况页面。
安全相关人员欲获取更多信息、与Akamai威胁研究人员互动、掌握Akamai智能边缘平台(Akamai Intelligent Edge Platform)提供的有关不断衍变的威胁态势的见解,请访问Akamai威胁研究中心(Akamai’s Threat Research Hub)。
关于Akamai
Akamai为在线生活提供支持和保护。全球最具创新活力的公司选择Akamai来保护和交付他们的数字化体验——Akamai每天帮助数十亿人的生活、工作和娱乐活动。凭借全球最大、最受信赖的边缘平台,Akamai使应用程序、代码和体验更为贴近用户,而威胁则离得更远。
史海拾趣
|
就是用CeCreateDatabaseEx2 / CeOpenDatabaseEx2.....等API创建打开的简单数据库 现在的情况是:创建、打开、添加、删除、关闭等,统统OK 。 我的问题出现再排序字段上: 我的一条记录有5个字段,其中有两个字段(都是字符串类型) ...… 查看全部问答> |
|
我在我的开发板上运行CE5.0的SMDK2410(flash读写已经修改了) EBoot,运行到OEMPreDownload函数时 打印调试信息发现始终没运行到EbootInitEtherTransport这个函数中 请高人指点一下啊??… 查看全部问答> |
|
大家好,我是一个爱好单片机的初学者。 这几天我一直在关注这个论坛,真的不错这个论坛, 学习单片机是因为我看到汽车的底盘灯很好看,自己想做一个,然后想让他呈流水状,就是流水灯,跑马灯,开始以为就是像汽车的转向器一样,结果上网 ...… 查看全部问答> |
|
【视频】TI制胜解决方案(二):高输入电压、低噪音电源解决方案 好东西陆续有来。 今天给大家介绍TI制胜解决方案——高输入电压、低噪音电源解决方案,该方案主要面向医疗、车载以及工业等对噪音敏感的领域。 欢迎大家评价并关注我的更新与分享哟!… 查看全部问答> |
|
手上有个spartan6的板子,自带PHY芯片和网口。设计时从XPS里面创建了microblaze软核,并向里面添加了以太网的IP核,测试的目的就是用PC机向网口发送一个数据,fpga接受到该数据并显示出来。 这里我有几点疑问: &nbs ...… 查看全部问答> |