從Google+被迫下線 淺談API安全實踐,熱點題材,股票新聞,概念股,主力資金流入

金投資訊

從Google+被迫下線 淺談API安全實踐
2018-12-28

   Google+是Google公司于2011年推出的社交網站與身份服務,根據官方統計數字,在上線后短短兩年間,該平臺的用戶數量就超過5.4億。然而,2018年10月,Google宣布他們將在2019年8月關閉Google+。我們不禁要問,究竟發生了什么,讓谷歌做出了如此突然的決定?

  事件背景

  2018年10月8日,《華爾街日報》發表了一篇題目為《谷歌泄露用戶數據,并擔心事件披露后產生的公眾影響》,該文章中曝光了Google+中存在一個漏洞,暴露約50萬用戶的數據,并且該漏洞已經存在了3年之久。

  受輿論影響,不久后,谷歌就公開披露了這一漏洞,并明確表示該漏洞會影響52500000個帳戶,并可能泄露用戶數據。這一漏洞泄露了Google+中用戶未公開的個人數據,其中包括年齡、電子郵件、職業等信息,以及一些應該私下共享的隱私數據。

  事發之后,谷歌采取了迅速的反應,很快定位到該漏洞是源于Google+的API沒有能夠按照預期運行。此后,他們在11月13日完成了漏洞修復,并關閉了用戶對Google+API的訪問。由于此次信息泄露事件涉及的范圍之廣,因此谷歌最終決定在2019年8月永久關閉該服務,也正式結束了這一服務曾經的輝煌。

   API安全性分析

  一個擁有上億用戶量的服務之所以走向毀滅,其原因之一在于他們沒有遵循API相關的安全規范。以下是綠盟君整理的關于API安全的相關建議。

  1

  充分認識到API的風險

  當開發人員使用API時,他們往往專注于一個細微的服務,可能是希望使某一特定服務的功能盡可能強大。然而,如今的信息系統,前端和后端都通過多種方式緊密相連。因此,開發人員應該充分認識到API的風險,從信息系統的整體性來考慮API的安全,在確保安全性的前提下滿足業務實際需要。

  在你使用不安全的API的那一刻,你就可能已經打開了公司內所有數據的大門。

  2

  謹慎使用第三方插件

   API接口的一個重要用途,就是允許第三方為信息系統編寫額外的應用程序。為了能夠使用這些第三方插件,一些API接口可能會向外部授權非常高級別的權限,而這些權限也正是黑客所朝思暮想的,最終變為攻擊者的突破口。

  因此,應該謹慎使用第三方插件,并對API接口進行權限控制,僅開放必要的權限。

  3

  前端:身份驗證與權限控制

   API并不是獨立存在的,開發人員會將它們與其他軟件相關聯。如果要保證安全,開發人員就要采取多種不同的方式,其中最重要的一點就是授權和身份驗證。

  隨著安全意識的提高,有越來越多的企業已經在使用雙因素認證的方式。但僅僅是認證這還不夠,對于信息系統的管理人員來說,應該嚴格限定不同人員對不同密級信息的訪問權限。

  舉例來說,每個人都有權限閱讀公司發出的全員公告,但只有極少數同事有權限閱讀公司的財務明細。由此,設置適當的訪問權限就顯得尤為重要。

  4

  后端:數據校驗

  我們采用了雙因素認證,設置了恰當的權限,花費了大量時間和精力來保護前端。但是,假如后端沒有進行充分的檢查,攻擊者還是能夠輕易地長驅直入。

  因此,在后端同樣要進行充分的數據校驗,包括檢查用戶是否具有相應權限、用戶身份是否經過偽造或篡改、是否存在數據包重放、是否包含預期之外的特殊字符等等。

  5

  進行配額限制

  針對一些業務系統所使用的API,我們可能非常清楚這些API的使用頻率。如果日常使用頻率是每分鐘調用1-2次API,那么在任何時候都不太可能每秒遇到幾千個請求。因此,對API進行配額限制,可以充分防范攻擊者濫用API,也可以保護API免受拒絕服務攻擊。

  針對一些對連續性要求較高的業務,可以將超出配額的這部分流量重定向到備用API,從而避免配額限制可能影響正常業務的情況。

  6

  杜絕任何不安全的API調用

  一些信息系統,可能會使用多個API,如果其中任何一個API不安全,那么信息系統的整體安全性就會受到威脅。因此,我們需要在使用API之前多加了解,杜絕使用任何不安全的API調用。

  安全的API能夠大幅提升信息系統的信息系統的功能性和效率,但不安全的API可能會導致整個信息系統的攻陷,從而帶來信息泄露、可用性降低等嚴重風險。希望大家能在使用API的時候,要全局思考、充分了解、恰當使用。

免責申明: 1、本站涉及的內容僅供參考,不作為投資依據,依此操作風險自擔。
2、本站部分內容轉載自網絡,如有侵權請聯系微信 nmw160 刪除。
index.xml index1.xml index2.xml index3.xml index4.xml news.xml ticai.xml

從Google+被迫下線 淺談API安全實踐,熱點題材,股票新聞,概念股,主力資金流入

青海快三规律