?API的安全危機(jī)
1、損壞的對(duì)象級(jí)別授權(quán):API傾向于暴露那些處理對(duì)象識(shí)別的端點(diǎn),造成了廣泛的攻擊面訪問(wèn)控制問(wèn)題;
2、損壞的用戶身份驗(yàn)證:身份驗(yàn)證機(jī)制通常實(shí)施不正確,從而使攻擊者可以破壞身份驗(yàn)證令牌或利用實(shí)施缺陷來(lái)臨時(shí)或永久地假冒其他用戶的身份;
3、數(shù)據(jù)泄露過(guò)多:開(kāi)發(fā)人員傾向于公開(kāi)所有對(duì)象屬性而不考慮其個(gè)體敏感性,依靠客戶端執(zhí)行數(shù)據(jù)過(guò)濾并顯示;
4、缺乏資源和速率限制:API不會(huì)對(duì)客戶端/用戶可以請(qǐng)求的資源大小或數(shù)量施加任何限制;
6、批量分配:將客戶端提供的數(shù)據(jù)綁定到數(shù)據(jù)模型,而沒(méi)有基于白名;單的適當(dāng)屬性過(guò)濾;
7、注入:當(dāng)不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解釋器時(shí)會(huì)發(fā)生注入缺陷,例如SQL、NoSQL的命令注入等。