向日葵漏洞防護(hù)小課堂首先和大家科普下,API一般是指應(yīng)用程序接口,主要用于軟件系統(tǒng)之間銜接的相關(guān)約定。當(dāng)應(yīng)用程序與開發(fā)人員基于某個軟件或者硬件,進(jìn)行訪問銜接的約定,則是被稱為API。API無需訪問源碼,現(xiàn)如今已經(jīng)成為APP經(jīng)濟的粘合劑。根據(jù)向日葵漏洞防護(hù)小課堂分析,開放的API已經(jīng)出現(xiàn)在桌面應(yīng)用商店,越來越多的Web應(yīng)用也向開發(fā)者開放了API的權(quán)限,導(dǎo)致了API同樣也存在攻擊漏洞。

?

?

對此向日葵漏洞防護(hù)小課堂提示,API的運行方式是與URL類似的,其可以實現(xiàn)獲取用戶地理位置、賬號、余額等功能,同時API也包括所有防護(hù)檢查,檢查完畢后便與后端服務(wù)進(jìn)行連接,因此API漏洞也變得越來越常見。

?

那么如何有效預(yù)防API漏洞呢?

?

1,圖形或者手機驗證碼

?

利用手機驗證碼或者圖形驗證碼,是較為常見防止惡意攻擊的方法,同時也是十分有效的。向日葵認(rèn)為當(dāng)用戶需要銜接API時,可以通過手機或者圖形驗證碼來進(jìn)行驗證,這樣就能夠有效避免漏洞被調(diào)用或者攻擊。

?

2,歸屬地匹配

?

向日葵漏洞防護(hù)小課堂提醒:利用服務(wù)器端檢查用戶所在地的IP是否與手機號碼歸屬地匹配,也是能夠有效預(yù)防API漏洞的,如果在不匹配的情況下,則是需要增加多次手動操作流程。

?

3,使用https:

?

作為協(xié)議服務(wù)的https訪問,同樣利用在API銜接也是具有明顯效果。據(jù)向日葵了解,https需要秘鑰的交換,因此通過API接口開啟訪問https的方式,可以有效辨別API是否出現(xiàn)漏洞,或者是非真人IP地址。

?

4,服務(wù)器端代理

?

采用服務(wù)器代理,可以有效解決API真實接口地址的暴露。API漏洞問題,無論是對于企業(yè)還是個人來說,都是具有一定威脅的,因此向日葵漏洞防護(hù)小課堂建議大家了解API的相關(guān)風(fēng)險,以及防護(hù)措施,是非常重要的。

?

5,限制請求次數(shù)

?

一般API接口連接的次數(shù),都不可能是無限次的,因此【向日葵漏洞防護(hù)小課堂】提倡限制請求次數(shù)。不管是同一IP地址還是同一設(shè)備,在時間范圍內(nèi)限制接口請求次數(shù)是非常重要的,例如同一號碼發(fā)送請求的間隔時間為60秒,每天最大發(fā)送量為10次,這些防護(hù)手段能夠有效針對API漏洞。

?

6,增加流程條件

?

完善的用戶注冊信息,是能夠有效預(yù)防API漏洞的,向日葵漏洞防護(hù)小課堂指出,在用戶注冊流程當(dāng)中,增加流程條件,并且把短信驗證放在最后流程當(dāng)中,成效是十分明顯的。