API漏洞對全球公司和個人均具有高風險,api接口泄露漏洞

API漏洞對全世界的公司和個人來說都是高風險的。

北京時間10月28日，Akamai最新報告《API:與每個人息息相關的攻擊》分析了與應用編程接口(API)相關的不斷變化的威脅態勢。本質上，API充當不同平臺之間快速簡單的管道。便利性和用戶體驗的重要性使API成為許多企業不可或缺的工具，但這也使它們成為網絡罪犯的誘人目標。

Akamai的報告主要關注破壞性API漏洞模型。雖然在軟件開發生命周期(SDLC)和測試工具上有所改進，但情況依然不容樂觀。當企業急于推出API時，他們往往在事后才考慮API的安全性。許多企業依賴于傳統的網絡安全解決方案，但這些解決方案不能完全保護API可能引入的廣泛攻擊面。

此外，報告還強調了Gartner的觀點，即到2022年，API將成為最常用的在線攻擊載體。Akamai安全研究員、《互聯網安全狀況報告》作者史蒂夫·拉岡(Steve Schmidt)指出:“從妥協的認證和注入缺陷到簡單的錯誤配置，任何構建聯網應用的人都會面臨無數的API安全問題。企業無法完全檢測到API攻擊，即使檢測到這種攻擊，也可能會被遺漏。DDoS攻擊和勒索軟件都是企業關注的重要問題，而API攻擊卻沒有得到同等程度的重視。這很大程度上是因為犯罪分子利用API發動的攻擊無法像勒索病毒攻擊那樣就地執行而引起轟動，但這并不意味著API攻擊應該被忽略。”

報告中詳細提到，Akamai查閱了2020年1月至2021年6月(18個月)的攻擊流量，發現攻擊總數超過110億次。SQL注入(SQLi)記錄了62億次攻擊，在Web攻擊趨勢列表中仍然排名第一，其次是本地文件包含(LFI)(33億)和跨站點腳本攻擊(XSS)(10.19億)。

雖然很難確定純API攻擊在上述攻擊中所占的比例，但致力于提高軟件安全性的非營利基金會開放Web應用安全項目(OWASP)近日發布了一份10大API安全漏洞名單，與Akamai的調查結果基本一致。

報告的其他要點包括:

在2020年1月至2021年6月的18個月中，跟蹤的庫碰撞攻擊保持穩定，2021年1月和2021年5月記錄的單日峰值超過10億次。

在此觀察期內，美國是Web應用攻擊的首要目標，其攻擊流量是排名第二的英國的近6倍。

o美國也位于攻擊來源列表的首位。它從俄羅斯手中奪走了第一名，它的攻擊流量幾乎是俄羅斯的4倍。

到目前為止，2021年的DDoS流量保持穩定，峰值出現在2021年第一季度初。2021年1月，Akamai在一天內記錄了190起DDoS事件，隨后在3月記錄了183起。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。