在特许项目的攻击场景中,攻击者是项目的合法用户/客户。他们使用自己的凭证绕过前端应用程序,操纵API,直接使用其他合法用户的电话号码访问后者的账户信息。由于API功能中的漏洞,后端应用程序没有验证电话号码并匹配发送请求的用户。因此,攻击者可以从其他用户的账户中搜索敏感数据,并快速列出各种电话号码来搜索许多账户的信息——从而严重损害组织的声誉,暴露在违反隐私法规的行为中。
保护API功能。
WebAPI不同于Web应用程序。主要区别在于业务逻辑或功能。两者都有,但根据定义,API比应用程序更外部化。每个API都有一个独特的业务逻辑,用于提供特定的功能(或一组功能)。API暴露了过去可能隐藏在应用程序中的功能。这使得API更容易受到预期API调用流的功能攻击。很容易认为WAF可以被配置为包含无数非常具体的规则来分解和保护其逻辑。虽然这在理论上是可能的,但实际上它根本不起作用:API逻辑所需的知识不可用,API的使用模式差异很大,变化很快,不总是被考虑在内。
应用程序在不断发展。
现代架构正在将应用程序分解为其核心功能。在应用程序中隐藏和安全的功能现在可以直接访问各种用户、消费者和合作伙伴。分析应用程序行为以保护API。
用户行为反映API逻辑。通过学习应用程序行为模式,我们可以深入了解其功能,并通过特定于API的特殊保护来提高安全性。与只分析Web流量元数据的WAF不同,分析实际数据(所有API事务)可以建模数据中复杂的关系和流量。这种数据驱动的API可以在没有文档的情况下找到所有API、用户、方法和敏感数据。一旦深入了解API功能的细粒度行为模型,就可以自动检测和防止违规行为。了解应用行为和业务逻辑,可以自动识别异常用户活动和API功能中断,从而在减少对API的攻击方面具有独特的优势。
此外,学习到的功能可以超越运行时的保护,并应用于安全测试。基于学习到的API功能,攻击场景自动生成,暴露API安全漏洞。功能API安全:一种整体方法。通过学习独特的API对话模式和识别异常行为,功能API安全可以从代码到生产加速整个SDLC的安全。