漏洞:Microsoft联机帐户
重置账户密码的API节点是常见的攻击矢量,攻击者通过提交海量的重置密码的代码组合,在有限的时间窗口内强制执行重置密码的操作。 最近微软就被发现了这么一个API漏洞,攻击者可以通过上述的方式来强行破解并重置微软用户的密码。 后续微软已经解决了这个问题,并给了这位黑客5万美元的奖励。
实际上,微软在这之前已经采取了一些措施来预防系统被入侵: 账户密码不可以是简单的数字,客户端和API之间也有一些基本的加密; 限制了API的速率; 检测异常的同时间、多端点的请求,并拒绝来自这些IP地址的所有代码。
但还有需要补充的: 需要假设攻击者可以通过多个IP地址发起分布式攻击; 使用更复杂的重置代码,更复杂的组合可以使得攻击者更难暴力破解; 增加智能限速机制作为附加保护;
思考:API网关是正解吗?
答案是确定的,但是因人而异。 在微服务化的趋势下,加上因为疫情疫情更加普及的线上云,通过API的内外网交互也越来越多。已经有很多网络安全相关的专家提出了观点,API会下一个容易遭到攻击的危险目标。无论是在互联网还是传统行业,API安全网关将是各大企业不可或缺的安全大门。
那为什么说因人而异呢?因为虽然API安全防护非常重要,但也应结合行业特征来考虑安全投入与应用性之间的平衡。 像微软这样的互联网巨头,更重点的是关注高并发下的API服务能力,如果使用了过多的安全策略,很大程度上会导致API服务的性能和应用性不友好。所以推荐标准化的企业级API网关。 而在金融、汽车制造等传统行业,对交易和生产的稳定性、安全性要求更高,而并发数并不像大型互联网企业那么高,因此这类企业会在政策监管的要求下,对API安全进行更加全面的防护。 Eolinker作为国内API领域的先行者,除了在企业级的微服务网关有优秀的技术水平,还有针对金融行业的非标准化API安全策略方案,在API层级保证数据安全,详细可以通过官网了解:www.eolinker.com