API漏洞对全球公司和个人均具有高风险,api接口泄露漏洞-ESG跨境

API漏洞对全球公司和个人均具有高风险,api接口泄露漏洞

API漏洞对全世界的公司和个人来说都是高风险的。

北京时间10月28日，Akamai最新报告《API:与每个人息息相关的攻击》分析了与应用编程接口(API)相关的不断变化的威胁态势。本质上，API充当不同平台之间快速简单的管道。便利性和用户体验的重要性使API成为许多企业不可或缺的工具，但这也使它们成为网络罪犯的诱人目标。

Akamai的报告主要关注破坏性API漏洞模型。虽然在软件开发生命周期(SDLC)和测试工具上有所改进，但情况依然不容乐观。当企业急于推出API时，他们往往在事后才考虑API的安全性。许多企业依赖于传统的网络安全解决方案，但这些解决方案不能完全保护API可能引入的广泛攻击面。

此外，报告还强调了Gartner的观点，即到2022年，API将成为最常用的在线攻击载体。Akamai安全研究员、《互联网安全状况报告》作者史蒂夫·拉冈(Steve Schmidt)指出:“从妥协的认证和注入缺陷到简单的错误配置，任何构建联网应用的人都会面临无数的API安全问题。企业无法完全检测到API攻击，即使检测到这种攻击，也可能会被遗漏。DDoS攻击和勒索软件都是企业关注的重要问题，而API攻击却没有得到同等程度的重视。这很大程度上是因为犯罪分子利用API发动的攻击无法像勒索病毒攻击那样就地执行而引起轰动，但这并不意味着API攻击应该被忽略。”

报告中详细提到，Akamai查阅了2020年1月至2021年6月(18个月)的攻击流量，发现攻击总数超过110亿次。SQL注入(SQLi)记录了62亿次攻击，在Web攻击趋势列表中仍然排名第一，其次是本地文件包含(LFI)(33亿)和跨站点脚本攻击(XSS)(10.19亿)。

虽然很难确定纯API攻击在上述攻击中所占的比例，但致力于提高软件安全性的非营利基金会开放Web应用安全项目(OWASP)近日发布了一份10大API安全漏洞名单，与Akamai的调查结果基本一致。

报告的其他要点包括:

在2020年1月至2021年6月的18个月中，跟踪的库碰撞攻击保持稳定，2021年1月和2021年5月记录的单日峰值超过10亿次。

在此观察期内，美国是Web应用攻击的首要目标，其攻击流量是排名第二的英国的近6倍。

o美国也位于攻击来源列表的首位。它从俄罗斯手中夺走了第一名，它的攻击流量几乎是俄罗斯的4倍。

到目前为止，2021年的DDoS流量保持稳定，峰值出现在2021年第一季度初。2021年1月，Akamai在一天内记录了190起DDoS事件，随后在3月记录了183起。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。