来自 资讯 2021-12-15 15:21 的文章

网站防御_山东高防服务器_如何解决

网站防御_山东高防服务器_如何解决

我们生活在一个应用程序和API经济中。根据Akamai的报告,目前83%的网络流量是API流量。虽然API的使用呈指数级增长,但采用安全措施来保护API的速度却很慢。api面临着一系列超越传统web应用程序的独特的安全风险和挑战。例如,攻击者可以通过暴力手段或窃取的凭据访问帐户。而且,由于API在设计上实现了自动化,所以它们很容易受到自动攻击,特别是攻击者使用通过第三方违规获得的被盗凭证进行攻击。另一个值得关注的领域?破坏授权。攻击者可以利用API中损坏的授权漏洞,在成功合法登录后获取敏感的用户信息。速率限制,再加上API更强大的身份验证和授权策略,可以帮助减轻此类自动攻击。为了帮助安全管理员解决这些独特的安全风险,开源Web应用程序安全项目(OWASP)最近开始发布API面临的最大威胁——OWASP API安全十大威胁。在这篇博客文章中,我们将研究10大威胁,以及Citrix ADC如何帮助保护您的api。API1:2019中断对象级授权问题是,创建一个对象级的访问控制级的api来处理攻击。在一个使用权限的函数中,每个用户访问一个数据源的权限都应该被认为是一个用户。Citrix ADC的帮助:AAA特性支持对所有API流量进行身份验证、授权和审计,包括支持API广泛使用的身份验证协议,如基于JWT的身份验证。虽然身份验证策略可用于验证身份,但ADC设备的AAA模块中的授权策略(如访问群体、作用域和基于声明的授权)允许您验证指定的请求是否具有访问资源所需的权限。API2:2019中断用户身份验证身份验证机制的实现通常不正确,使得攻击者能够破坏身份验证令牌或利用实现缺陷暂时或永久地假定其他用户的身份。这可能会损害系统识别客户机/用户的能力和整个API安全状况。Citrix ADC的帮助:JWT利用了令牌验证和Citrix等安全特性。令牌验证确保在授权头中存在有效的JWT,并且仅当令牌包含所需信息时才允许访问。令牌内省涉及定义API端点和资源的机制,以获取有关令牌的信息,同时确保令牌以及相关联的范围声明和用户信息的有效性。API3:2019过度数据暴露展望通用实现,开发人员倾向于公开所有对象属性,而不考虑它们各自的敏感度,依赖客户端在向用户显示数据之前执行数据过滤。Citrix ADC的帮助:Citrix ADC可以设置请求和响应大小的限制,从而防止传输大量数据,直播高防cdn,并确保阻止过多的数据暴露。基于规则的响应程序策略可以配置为在匹配大量数据的请求时触发。Citrix Analytics module for API使用机器学习来提供洞察,当对偏离正常基线API流量的过多数据发出请求时,可以自动分析并发出警报。API4:2019资源短缺和费率限制通常,api对客户机/用户可以请求的资源的大小或数量没有限制。这可能会影响API服务器的性能,导致拒绝服务(DoS),并为暴力等攻击敞开大门。Citrix ADC的帮助:Citrix ADC有很多选项,可以通过定义最大负载来限制API流量。速率限制功能使您能够配置流量速率,并限制任何过度或恶意流量,以确保资源的可用性。您还可以基于自定义HTTP报头应用速率限制策略。管理员可以使用响应程序策略对流量限制进行分级。API5:2019功能级授权中断具有不同层次结构、组和角色的复杂访问控制策略,以及管理和常规功能之间不明确的分离,往往会导致授权缺陷。通过利用这些问题,下列哪个方法无法防御ddos,攻击者可以访问其他用户的资源和/或管理功能。Citrix ADC的帮助:Citrix ADC集成了诸如身份验证、授权和审核等安全功能,这些功能可以阻止未经授权的资源访问。身份验证功能验证凭据并允许有效用户。授权验证是否允许实体访问请求的资源。身份验证配置文件保存配置信息,如主机、域和身份验证级别,以便可以多次使用这些设置。授权策略可以通过特定的单个策略或组策略与每个用户关联,该策略指定必须通过高级基于规则的表达式授权访问的资源。API6:2019质量分配将客户端提供的数据(例如JSON)绑定到数据模型,而没有基于许可列表的足够的属性过滤,通常会导致批量分配。猜测一个对象的属性,探索其他API端点,dos和ddos攻击防御,阅读文档,或者在请求有效负载中提供额外的对象属性,使得攻击者能够修改他们不应该修改的对象属性。Citrix ADC的帮助:Citrix Web App防火墙(WAF)策略(如字段格式保护和表单字段一致性)可以防止大规模分配攻击。字段格式保护利用基于正则表达式的规则来限制任何依赖于用户的输入参数。表单字段一致性针对用户会话表单验证基于用户输入的每个提交表单,以确保表单中每个字段的有效性。API7:2019安全配置错误安全配置错误通常是由于不安全的默认配置、不完整或临时配置、开放云存储、错误配置的HTTP头、不必要的HTTP方法、允许的跨源资源共享(CORS)和包含敏感信息的详细错误消息造成的。Citrix ADC的帮助:Citrix ADC使您能够生成一个应用程序防火墙配置报告,其中包含详细信息并列出活动的策略,以及策略的内容、与之关联的操作(或配置文件)和全局绑定信息。应用程序防火墙报告包括配置文件并指示每个配置文件关联的策略。应用程序防火墙支持Cenzic、IBM AppScan(企业和标准)、Qualys、TrendMicro、WhiteHat和自定义漏洞扫描报告。来自扫描工具的报告将转换为ADC签名,以自动化WAF配置并将错误配置错误降至最低。Citrix ADC通过在转发到应用程序服务器之前根据授权的跨源域列表对请求进行身份验证,从而防止DoS CORS查询。Citrix ADC还添加了一个符合CORS协议的授权头。API8:2019注射当不可信的数据作为命令或查询的一部分发送到解释器时,会出现诸如SQL、NoSQL和命令注入之类的注入缺陷。攻击者的恶意数据可诱使解释器在未经适当授权的情况下执行意外命令或访问数据。Citrix如何帮助:Citrix WAF配置文件可以配置为保护API实例和端点。SQL注入预防功能可防止常见的注入攻击。可以上载自定义注入模式,以防止任何类型的注入攻击,包括XPath和LDAP。这适用于HTML和XML有效载荷。签名会自动更新,以确保针对最近的威胁提供保护。缓冲区溢出检查确保URL、标头和Cookie处于正确的限制范围内,阻止任何试图注入大型脚本或代码的尝试。API9:2019资产管理不当与传统的web应用程序相比,api倾向于暴露更多的端点,因此正确和更新的文档非常重要。适当的主机和部署的API版本清单在缓解诸如不推荐使用的API版本和暴露的端点等问题方面也起着重要作用。Citrix ADC的帮助:通过API规范文件加载的API可以无缝地进行维护和更新。将维护已部署API的清单,并可以一致的方式将流量管理和安全策略应用于已部署的API。API10:2019测井和监测不足日志记录和监控不足,再加上与事件响应的集成缺失或无效,使得攻击者能够进一步攻击系统、保持持久性、转向更多系统来篡改、提取或销毁数据。大多数漏洞研究表明,检测漏洞的时间超过200天,而且通常是由外部人员检测到的,而不是内部流程或监控。Citrix ADC的帮助:Citrix ADC支持丰富的日志记录(CEF、Syslog、Export to Splunk、Kibana、Prometheus/Grafana),并确保对诸如身份验证成功/失败和异常检测之类的事件进行监视。当在签名中启用日志时,云cdn防御cc,低成本ddos防御,它将提供有关触发事件的请求和响应的详细信息。Citrix ADC标识恶意请求的来源IP地址的位置。默认格式(PI)表达式提供了定制日志中包含的信息的灵活性,可以选择添加要捕获到应用程序防火墙生成的日志消息中的特定数据。如果您想了解Citrix如何帮助管理和保护您的api,请联系您的客户团队