Akamai:API漏洞对全球公司和个人均具有高风险
北京时光10月28日消息,Akamai最新申报《API:与每小我互相干注的进击》分析了与应用法度榜样编程接口(API)有关的、赓续变更的威逼态势。API本质上充当了不合平台之间的快速简略单纯管道。便利性和用户体验的重要性导致API成为了很多企业必弗成少的对象,但这也使它们成为了对于收集犯法分子极具吸引力的目标。
Akamai的申报重点介绍了破坏性的API马脚模式,尽管其在软件开产生命周期(SDLC)和测试对象方面已经有了改进,但情况仍不容乐不雅。当企业急于推出API时,往往要到过后才会推敲API安然性,而很多企业依附于传统的收集安然解决筹划,但这些解决筹划无法充分保护API可能引入的广泛进击面。
此外,申报还强调了Gartner的不雅点,即API到2022年将成为应用最频繁的在线进击向量。Akamai安然研究员兼《互联网安然状况申报》作者Steve Ragan指出:“从遭到破坏的身份验证和注入缺点,到简单的缺点设备,任何构建联网应用法度榜样的人都邑面对弗成胜数的API安然问题。企业无法充分检测API进击,即使检测到此类进击,也可能会被漏报。DDoS进击和勒索软件都是企业存眷的重要问题,而API进击并没有获得一致程度的存眷,这在很大年夜程度上是因为,犯法分子应用API提议的进击无法像履行到位的勒索软件进击那样激发轰动效应,但这并不料味着应当忽视API进击。”
申报中具体提到,Akamai审查了2020年1月至2021年6月间(18个月)的进击流量,发明总进击次数跨越110亿次。凭借记录到的62亿次进击,SQL注入(SQLi)仍然在Web进击趋势列表中排在首位,其次是本地文件包含(LFI)(33亿次)、跨站点脚本进击(XSS)(10.19亿次)。
固然很难在上述进击中肯定纯粹的API进击所占的比例,但致力于进步软件安然性的非营利性基金会——开放Web应用法度榜样安然项目(OWASP)比来宣布了一份10大年夜API安然马脚清单,该清单根本与Akamai的查询拜访成果一致。
其他申报要点包含:
● 在2020年1月至2021年6月的18个月中,追踪到的撞库进击保持稳定,在2021年1月和2021年5月记录到了跨越10亿次进击的单日峰值。
● 在此不雅察期内,美国事Web应用法度榜样进击的重要目标,其遭受的进击流量是排名第二的英国的近六倍。
o 美国也在进击来源清单中名列前茅,它从俄罗斯手中夺走了第一名,其发出的进击流量几乎是俄罗斯的四倍。
● 到今朝为止,2021年的DDoS流量一向保持稳定,在2021年第一季度早期记录到了峰值。2021年1月,Akamai在一天内记录了190起DDoS事宜,随后在3月记录了183起。
进入购买
进入购买
进入购买
