麻豆一区二区三区蜜桃免费_中文字幕Va一区二区三区 _国产成人综合久久二区_丰满多毛的大隂户毛茸茸_国产麻豆剧果冻传媒免费老狼_无码人妻精品一区二区三区久久久 _亚洲中文无码精品卡通_蜜臀亚洲AV永久无码精品老司机

隨著云計算、移動應(yīng)用和物聯(lián)網(wǎng)高速發(fā)展，API（應(yīng)用程序編程接口）正被廣泛應(yīng)用。作為現(xiàn)代應(yīng)用的基本組成部分，API 使開發(fā)人員能夠迅速集成第三方服務(wù)、豐富功能并推動創(chuàng)新。無論是擴(kuò)展醫(yī)療保健服務(wù)還是推動電子商務(wù)，API 都已經(jīng)無縫地融入到我們數(shù)字生活的基礎(chǔ)中。也正因此，利用 API 漏洞進(jìn)行的網(wǎng)絡(luò)攻擊正頻繁發(fā)生。

01 API 的網(wǎng)絡(luò)攻擊數(shù)據(jù)泄露事件頻發(fā)

以下幾個公司的案例展示了 API 安全性不足所帶來的潛在風(fēng)險。

Quest Diagnostics

由于第三方 API 中的漏洞，美國頂級臨床實驗室服務(wù)提供商之一的 Quest Diagnostics 發(fā)生了重大數(shù)據(jù)泄露。攻擊者利用了第三方支付頁面中的此漏洞（可通過暴露的API訪問），最終導(dǎo)致約 1190 萬名患者的醫(yī)療記錄被未經(jīng)授權(quán)訪問。

Latitude Financial

總部位于墨爾本的 Latitude Financial 在 2023 年 3 月發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件，導(dǎo)致超過 1400 萬條記錄被泄露。受影響的數(shù)據(jù)包括近 800 萬個駕駛執(zhí)照、53000 個護(hù)照號碼和多份月度財務(wù)報表。

Dropbox

2022 年 11 月 1 日，網(wǎng)絡(luò)罪犯成功地侵入了托管在 GitHub 上的 Dropbox 內(nèi)部代碼倉庫。這次未經(jīng)授權(quán)的訪問涉及了 130 個內(nèi)部代碼倉庫，其中一些存儲了 API 密鑰和用戶數(shù)據(jù)。攻擊者通過發(fā)送類似于? CircleCI?（一種廣泛使用的 CI/CD 任務(wù)流平臺）的欺騙性電子郵件來實施網(wǎng)絡(luò)釣魚活動。收件人被引導(dǎo)至一個偽造的 CircleCI 網(wǎng)頁，并被提示輸入他們的 GitHub 憑據(jù)。隨后，他們收到了一次性密碼請求，這增加了欺騙性。

Peloton

2021 年 5 月，一名安全研究人員發(fā)現(xiàn)互動健身平臺 Peloton 存在一個漏洞，在該漏洞中，可以向 Peloton 的后端 API 提出未經(jīng)驗證的請求，而這些 API 是其運動設(shè)備和訂閱服務(wù)不可或缺的組成部分。這個漏洞允許直接訪問 Peloton API 端點，可能會暴露大量個人身份信息（PII），從而影響 Peloton 客戶的隱私。盡管 Peloton 最終解決了 API 漏洞，但其客戶的 PII 暴露程度仍不確定。

02 加強(qiáng) API 安全性：Fortify API 安全測試十大優(yōu)勢

由于基于 API 的漏洞越來越多，企業(yè)越來越致力于加強(qiáng)對 API 相關(guān)風(fēng)險的了解和控制。在尋求 API 安全測試解決方案時，F(xiàn)ortify 可以幫助您有效識別 API 的弱點和漏洞。以下是 Fortify 在滿足 API 安全測試需求方面的十大獨特優(yōu)勢：

01 廣泛的 API 安全評估

Fortify 提供全面的 API 安全測試方法，包括動態(tài)分析 (DAST) 和靜態(tài)分析 (SAST)。這樣就能在開發(fā)生命周期的各個階段檢測 API 中的漏洞和安全缺陷。Fortify 具備混合分析的獨特能力，確保從更全面的角度看待 API 安全性，這使其有別于該領(lǐng)域的許多專業(yè)競爭對手。

02 真實的測試場景

許多 API 需要身份驗證才能訪問敏感數(shù)據(jù)或執(zhí)行重要操作。在沒有身份驗證的情況下對 API 進(jìn)行測試可能會產(chǎn)生虛假的安全感。Fortify 具備處理各種 API 身份驗證方法（包括MFA）的能力，有助于模擬真實情況，從而提高安全性測試的準(zhǔn)確性和相關(guān)性。

03 API 攻擊面評估

對一個應(yīng)用程序中包含的 API 有深入了解，使安全測試人員能夠全面評估應(yīng)用程序的攻擊面。這確保了潛在的漏洞或入口點不會被忽視。Fortify DAST 具備在抓取網(wǎng)絡(luò)應(yīng)用程序時利用 schema 和 Postman 等工具發(fā)現(xiàn) API 的能力。

04 為企業(yè)量身定制的可擴(kuò)展性

Fortify 的設(shè)計針對可擴(kuò)展性進(jìn)行了優(yōu)化，以滿足企業(yè)級應(yīng)用程序的需求，使其成為擁有復(fù)雜而龐大的 API 環(huán)境的企業(yè)的理想選擇。

05 數(shù)據(jù)流分析

API 在規(guī)范應(yīng)用程序內(nèi)部數(shù)據(jù)流動方面發(fā)揮著關(guān)鍵作用。Fortify SAST 的數(shù)據(jù)流分析器能夠發(fā)現(xiàn)涉及被污染數(shù)據(jù)的安全問題，這些數(shù)據(jù)被用于潛在的危險用途。這種分析使得 Fortify SAST 能夠精確地識別許多不同類型的安全問題。

06 無縫集成

Fortify 可與知名開發(fā)工具、CI/CD 任務(wù)流和問題跟蹤系統(tǒng)無縫集成。這簡化了開發(fā)團(tuán)隊將 API 安全測試無縫集成到既定工作流程中的過程。

07 第三方風(fēng)險評估

許多應(yīng)用程序依賴于第三方 API 和服務(wù)。當(dāng)涉及到評估與第三方相關(guān)的安全風(fēng)險時，識別這些依賴關(guān)系至關(guān)重要。第三方 API 中的漏洞或安全弱點可能直接影響應(yīng)用程序的整體安全性。

08 安全配置評估

API 可能需要特定的配置才能安全運行。Fortify 會評估這些配置是否被正確部署，降低了由于配置錯誤導(dǎo)致的安全問題的風(fēng)險。

09 支持法規(guī)和政策遵從

Fortify 提供的功能可以幫助企業(yè)遵循與 API 安全性相關(guān)的合規(guī)要求（包括 OWASP API 安全十大原則和 GDPR 等法規(guī)）。

10 強(qiáng)調(diào)補(bǔ)救措施

并非應(yīng)用程序中的所有 API 都具有相同程度的風(fēng)險。Fortify 提供全面的報告和可行的指導(dǎo)，以解決 API 中已識別的安全問題。這樣就能采取有針對性的補(bǔ)救措施，將資源用于管理敏感數(shù)據(jù)或執(zhí)行關(guān)鍵功能的 API（因為這些 API 通常風(fēng)險較高）。

隨著 API 在現(xiàn)代應(yīng)用架構(gòu)中不斷發(fā)揮關(guān)鍵作用，基于 API 的網(wǎng)絡(luò)威脅日益嚴(yán)重。從醫(yī)療保健到金融等各個行業(yè)，API 的易集成性和快速創(chuàng)新使其變得不可或缺。然而，對 API 接口的日益依賴也使其成為網(wǎng)絡(luò)罪犯尋求可利用漏洞時的重點目標(biāo)。

上文列舉的幾起備受矚目的惡性事件揭示了安全性不足的 API 所帶來的風(fēng)險。這些泄露事件導(dǎo)致了敏感信息的曝光，由此可見強(qiáng)化 API 安全性措施是重要且必要的。

如果您正在擴(kuò)大應(yīng)用程序安全的工作范圍，并計劃將 API 安全納入其中，F(xiàn)ortify 可提供全面的解決方案，助您解決 API 安全測試難題。

（文章來源公眾號：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

關(guān)于億道電子

上海億道電子技術(shù)有限公司是國內(nèi)資深的研發(fā)工具軟件提供商，公司成立于2009年，面向中國廣大的制造業(yè)客戶提供研發(fā)、設(shè)計、管理過程中使用的各種軟件開發(fā)工具，致力于幫助客戶提高研發(fā)管理效率、縮短產(chǎn)品設(shè)計周期，提升產(chǎn)品可靠性。

十多年來，先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰(zhàn)略合作伙伴關(guān)系，并作為他們在中國區(qū)的主要分銷合作伙伴服務(wù)了數(shù)千家中國本土客戶，為客戶提供從芯片級開發(fā)工具、EDA設(shè)計工具、軟件編譯以及測試工具、結(jié)構(gòu)設(shè)計工具、仿真工具、電氣設(shè)計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經(jīng)驗積累，真正的幫助客戶實現(xiàn)了讓研發(fā)更簡單、更可靠、更高效的目標(biāo)。

歡迎關(guān)注“億道電子”公眾號

了解更多研發(fā)工具軟件知識