- 综合排序
- 最热优先
- 最新优先
- 来自专栏Khan安全团队
API 安全清单
对于私有 API,仅允许从列入白名单的 IP/主机进行访问。 API keys 使用 API Gateway 服务来启用缓存、速率限制策略(例如Quota、Spike Arrest或Concurrent Rate Limit)并动态部署 API 资源。
2.1K20编辑于 2022-01-14 - 来自专栏charlieroro
API安全综述
目录 API安全综述 API调用中的访问控制 token颁发过程中的访问控制 API调用过程中的访问控制 消息防护 后端服务的安全性 基于分析的安全性 APIs治理 API部署防护 API调用中的访问控制 为了颁发一个order_item 作用域的token,需要考虑如下三个条件:(1)该用户是否是warehouse_admin 角色,(2)用户是否在HMart总公司工作,(3)源IP是否属于Australia 图3展示了使用限流策略和访问控制策略在API调用阶段对API进行防护。注意这种情景下使用了一个独立的限流组件,并将策略评估引擎放到了API控制面。 ? 由于每月的API调用次数可以达到百万甚至上亿,通常我们更关注基于这些事件的汇总以及预测。例如,一个应用在过去的3个月内使用IP段X,但突然从IP段Y发出了一个请求(不在X范围内)。 更近一步,可以将网关3限制为分支机构的VPN访问。 密钥管理器组件负责颁发tokens并评估高级运行时策略。
1.5K20发布于 2021-07-13 - 来自专栏腾讯安全
腾讯API安全公测重磅开启,你的API安全吗?
9月28日,腾讯安全正式启动API安全公测,联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力,帮助企业全面识别API风险,针对性收敛API暴露面,构建全面、智能、精准的API安全防御体系 2、强调开发速度和灵活性,忽略构建API安全:更多企业转向采取敏捷开发模式,但在提升软件构建效率的同时,企业对于如何构建API安全性缺少合适的方法,难以顾及API安全。 3、内部接口缺少维护,引发多种攻击隐患:开发应用时,可能会涉及大量的内部接口书写,由于人员变动、缺乏维护等原因被忽略,给攻击者留下突破口。 (OWASP API Security Top 10)腾讯API安全产品聚焦API防御体系打造腾讯API安全聚焦API防御体系打造,以异常暴露面管理为首个突破重点,助力企业全面清点API资产、智能发现API 3、合规运营:持续识别 API参数暴露面,对各类敏感的参数信息、后台参数等进行持续检测,包括但不限于银行卡号、身份证号等信息,防止敏感信息泄露。
92030编辑于 2022-09-29 - 来自专栏用户8610644的专栏
腾讯API安全公测重磅开启,你的API安全吗?
9月28日,腾讯安全正式启动API安全公测,联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力,帮助企业全面识别API风险,针对性收敛API暴露面,构建全面、智能、精准的API安全防御体系 2、强调开发速度和灵活性,忽略构建API安全:更多企业转向采取敏捷开发模式,但在提升软件构建效率的同时,企业对于如何构建API安全性缺少合适的方法,难以顾及API安全。 3、内部接口缺少维护,引发多种攻击隐患:开发应用时,可能会涉及大量的内部接口书写,由于人员变动、缺乏维护等原因被忽略,给攻击者留下突破口。 (OWASP API Security Top 10)腾讯API安全产品聚焦API防御体系打造腾讯API安全聚焦API防御体系打造,以异常暴露面管理为首个突破重点,助力企业全面清点API资产、智能发现API 3、合规运营:持续识别 API参数暴露面,对各类敏感的参数信息、后台参数等进行持续检测,包括但不限于银行卡号、身份证号等信息,防止敏感信息泄露。
91130编辑于 2022-09-29 - 来自专栏安全播报
腾讯API安全公测重磅开启,你的API安全吗?
9月28日,腾讯安全正式启动API安全公测,联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力,帮助企业全面识别API风险,针对性收敛API暴露面,构建全面、智能、精准的API安全防御体系 2、强调开发速度和灵活性,忽略构建API安全:更多企业转向采取敏捷开发模式,但在提升软件构建效率的同时,企业对于如何构建API安全性缺少合适的方法,难以顾及API安全。 3、内部接口缺少维护,引发多种攻击隐患:开发应用时,可能会涉及大量的内部接口书写,由于人员变动、缺乏维护等原因被忽略,给攻击者留下突破口。 腾讯API安全产品聚焦API防御体系打造腾讯API安全聚焦API防御体系打造,以异常暴露面管理为首个突破重点,助力企业全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据 3、合规运营:持续识别 API参数暴露面,对各类敏感的参数信息、后台参数等进行持续检测,包括但不限于银行卡号、身份证号等信息,防止敏感信息泄露。
98510编辑于 2022-09-28 - 来自专栏FreeBuf
为什么API网关不足以保证API安全?API安全之路指向何处
人们想要减轻面临的 API 安全威胁,需要正确的安全实施战略和程序。另外,为了保证 API 的安全还应该制定一个包含审计标准、变更控制系统、管理流程、访问控制措施等在内的管理计划。 为什么API网关的安全性还不够好? 我们应该把 API 网关和 API 安全区别开来,不能混为一谈。前者的访问控制功能,仅仅是 API 安全的一部分。 正如 OWASP API 十大安全文件总结的一样,API 安全威胁同样包括许多伴随传统 Web 应用程序攻击的漏洞。 网络攻击从有效的 API 令牌中获取里程数,可以成功的攻击应用程序的业务逻辑或数据层,原因是它们的设计是针对允许使用 API 的漏洞。 3. 可能危及API安全的三个常见风险 处理 API 数量的方法乏善可陈 缺乏关于公共的、合作伙伴的、私人的和复合的 API 总数的信息,使安全团队无法理解一个 API 的真正暴露和风险。
60520编辑于 2023-03-30 - 来自专栏API技术
API 安全最佳实践
因此,确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。在本篇文章中,我们将深入研究 API 的安全性,并通过使用 C# 的实际示例探索一些基本机制。 API安全简介API 安全是为了防范未经授权的访问、数据泄露以及其他潜在风险而采取的一系列实践和技术。如果没有足够的安全措施,API 很容易受到各种威胁,包括数据泄露、拒绝服务攻击和恶意利用。 (TLS) 或安全套接字层 (SSL) 加密可确保客户端和 API 服务器之间的安全通信。 ● 使用安全密码散列算法(例如 bcrypt)来存储密码。 ● 对关键操作实施双因素身份验证。在研发流程之外,开发者也可以采用API集成平台更好地关注API安全。 通过整合这些最佳实践,开发人员可以构建强大且安全的 API,从而为更安全的数字生态系统做出贡献。原文链接:Best Practices of API Security.
1.7K10编辑于 2023-12-20 - 来自专栏Linyb极客之路
浅谈API安全设计
一、简述 安全是恒久的话题,如果不注意防范,会带来很严重的后果。 比如: 1.接口被大规模调用消耗系统资源,影响系统的正常访问,甚至系统瘫痪 2.数据泄露 3.伪造(篡改)数据,制造垃圾数据 4.App被仿制… 那么我们设计API时,就要保证RESTful API的安全性 timetamp&SIGN_KEY) 验证过程 认证逻辑 1、初始时,服务端存有各App版本的SIGN_KEY,客户端存有对应版本的SIGN_KEY 2、当要发送请求之前,通过签名方法加密,得到一个sign 3、 总结 如此便实现了请求认证,防止数据篡改,重放攻击,但是需要确保App密钥(SIGN_KEY)的安全保存,其优点是容易理解与实现,缺点是需要承担安全保存密钥和定期更新密钥的负担。
92210编辑于 2022-03-10 - 来自专栏FunTester
API安全的概览
因此,API 安全性变得至关重要。在确保数据隐私和系统完整性的同时,采取适当的 API 安全措施是防范潜在攻击的关键。 通过漏洞评估和及时的补丁管理,可以降低系统受到已知漏洞攻击的风险,提高 API 的整体安全性。 API生命周期管理 API 安全考虑贯穿整个 API 生命周期,从设计和开发到部署和退役。 安全性应该集成到 API 生命周期的每个阶段,包括设计审查、安全测试和安全部署实践。 设计阶段: 在 API 的设计阶段,开发团队应该进行设计审查,确保安全性考虑已经被纳入到 API 的构建中。 有效地利用安全功能也是 API 安全的关键。利用现代的 API 管理工具,监控和审计 API 的使用情况,检测异常活动。实施有效的日志记录和报警系统,及时发现和响应潜在的安全威胁。 综上所述,通过提高参与 API 生态系统的各方人员的安全意识,培训他们如何有效地应对安全挑战,实施最佳实践和利用现代安全功能,可以显著增强 API 及其交互系统的安全状况。
71810编辑于 2024-02-03 - 来自专栏刘君君
API 网关的安全
摘要: 本篇文章是总结工作中遇到的安全问题 正文: API 网关的安全 XSRF/CSRF 跨站请求伪造(Cross-site request forgery)是一种挟制用户在当前已登录的web程序上执行非本意的操作的攻击方法 block-all-mixed-content;connect-src 'self' uploads.github.com status.github.com collector.githubapp.com api.github.com www.google-analytics.com github-cloud.s3.amazonaws.com github-production-repository-file-5c1aeb.s3.amazonaws.com github-production-upload-manifest-file-7fdce7.s3.amazonaws.com github-production-user-asset-6210df.s3 但是服务端既然无状态,Token在客户端存储位置就是一个问题 存放位置 存在Cookie,要使用Http-Only 保护cookie 存在Local Storage 无法防止XSS LocalStorage 的API
1.8K50发布于 2018-06-07 - 来自专栏网络收集
3、交互API
3、交互API1.全局echarts 对象全局 echarts 对象是引入 echarts.js 文件之后就可以直接使用的echarts.init初始化ECharts实例对象 使用主题echarts.registerTheme
72020编辑于 2022-06-18 - 来自专栏Tencent Serverless 官方专栏
使用腾讯云 API 网关保护 API 安全
因此,API 安全正受到业界和学术界的广泛关注,开放 Web 应用程序安全项目(OWASP)在 2019 年将 API 列为最受关注的十大安全问题。 本文将带您了解如何使用腾讯云 API 网关保护 API 安全,为您的业务保驾护航。 在腾讯云 API 网关上一般可以通过 9 种方式来保护 API 安全: 1. 链路加密; 2. 认证鉴权; 3. IP 访问控制 API 安全防护过程中经常需要针对 IP 地址进行安全防护,API 网关针对此场景提供了 IP 访问控制能力,主要用于限制 API 的调用来源 IP,可以通过配置某个 API 的 IP API 网关上支持针对 API 设置 W3C 规范的自定义的复杂 CORS 规则,帮助 API 开放者避免跨域过程中的安全问题。 随着互联网产品的兴起,Web 攻击的手段越来越多样,腾讯云 API 网关也将不断修炼安全防护能力,争取为应用开发者们提供业内最安全的网关产品。
8.7K21发布于 2021-09-15 - 来自专栏JavaEdge
SpringCloud安全实战(一)-API及其安全机制
安全 1.1 何为API? 1.2 API安全的要素 ? 1.3 API安全的目标 机密性( Confientiality )。确保信息只被预期的读者访问 完整性( Integrity )。 当用户需要访问API时, API总是可用的 1.4 常见的API风险 Spoofing :欺骗。伪装成系统管理员 Tampering :干预。 风险与安全机制的对应关系 认证: (欺骗)。确保你的用户或客户端真的是他(它)们自己 授权:(信息泄漏)/(干预)/(越权) 确保每个针对API的访问都是经过授权的 审计: (否认)。 防止用户请求淹没你的API。 加密: (信息泄漏)。确保出入API的数据是私密的。 常见的安全机制 ? 注入攻击最为常见 ? 登录安全 基于Token的身份认证 ?
1.4K31发布于 2020-05-27 - 来自专栏用户8851017的专栏
如何保证API接口安全?
当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢? 如何保证API接口安全? ,token 方案的实现主要有以下几个步骤: 1、用户登录成功之后,服务端会给用户生成一个唯一有效的凭证,这个有效值被称为token 2、当用户每次请求其他的业务接口时,需要在请求头部带上token 3、 如何保证API接口安全? 同时,在生产环境,采用https方式进行传输,可以起到很好的安全保护作用
1.9K20发布于 2021-07-23 - 来自专栏API安全
WebSocket API安全风险解读
3. WebSocket API业务场景WebSocket API作为一种重要客户端-服务器通信接口,究竟在哪些业务场景下能够用到WebSocket API呢? WebSocket API安全风险WebSocket API的安全风险主要分为两大类:常规攻击风险和特有攻击风险。以下是这两大类风险的详细解读。 (3)授权失效同身份认证一样,WebSocket API没有明确指定任何授权方式,API中用户资源访问等的授权策略由服务端或开发者实现。 所以WebSocket API同样面临OWASP API 2023十大安全风险中API1:对象级别授权失效、API3:对象属性级别授权失效、API5:功能级别授权失效的安全风险。 关于Portal Lab星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。
1.3K10编辑于 2023-07-03 - 来自专栏全栈程序员必看
HTTP API接口安全设计
API接口调用方式 HTTP + 请求签名机制 HTTP + 参数签名机制 HTTPS + 访问令牌机制 有没有更好的方案?
1K20编辑于 2022-07-07 - 来自专栏BestSDK
REST API 安全设计指南
REST API 安全设计指南。 但其缺少安全特性,《REST API 安全设计指南》就是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。 3、授权 身份认证之后就是授权,根据不同的身份,授予不同的访问权限。比如admin用户,普通用户,auditor用户都是不同的身份。简单的示例: ? (2)返回数据统一编码格式,统一返回类型,如Content-Type: application/json; charset=”UTF-8″ (3)在逻辑实现中,json解码之后进行参数验证或者转义操作, (4)在传输过程中,采用SSL保证传输安全。 (5)存储安全,重要信息加密存储,如认证信息hash保存。 总之,尽量使用SSL。
3.6K80发布于 2018-02-27 - 来自专栏Linyb极客之路
RESTFUL API 安全设计指南
但是这种方式安全性较低,就是简单的将用户名和密码base64编码放到header中。 2.2 API KEY API Key就是经过用户身份认证之后服务端给客户端分配一个API Key,类似:http://example.com/api? 2.4 JWT JWT 是JSON Web Token,用于发送可通过数字签名和认证的东西,它包含一个紧凑的,URL安全的JSON对象,服务端可通过解析该值来验证是否有操作权限,是否过期等安全性检查。 (2)返回数据统一编码格式,统一返回类型,如Content-Type: application/json; charset=”UTF-8″ (3)在逻辑实现中,json解码之后进行参数验证或者转义操作, (4)在传输过程中,采用SSL保证传输安全。 (5)存储安全,重要信息加密存储,如认证信息hash保存。 总之,尽量使用SSL。
1.9K20发布于 2018-11-22 - 来自专栏纯洁的微笑
如何保证API接口安全?
一、摘要 在实际的业务开发过程中,我们常常会碰到需要与第三方互联网公司进行技术对接,例如支付宝支付对接、微信支付对接、高德地图查询对接等等服务,如果你是一个创业型互联网,大部分可能都是对接别的公司api 当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢? ,token 方案的实现主要有以下几个步骤: 1、用户登录成功之后,服务端会给用户生成一个唯一有效的凭证,这个有效值被称为token 2、当用户每次请求其他的业务接口时,需要在请求头部带上token 3、 但是缺少对数据自身的安全保护,即请求的参数和返回的数据都是有可能被别人拦截获取的,而这些数据又是明文的,所以只要被拦截,就能获得相应的业务数据。 同时,在生产环境,采用https方式进行传输,可以起到很好的安全保护作用!
2K10发布于 2021-07-01 - 来自专栏CMS建站教程
设置API接口的安全
当你的公司体量上来了时候,这个时候可能有一些公司开始找你进行技术对接了,转变成由你来提供api接口,那这个时候,我们应该如何设计并保证API接口安全呢? ,token 方案的实现主要有以下几个步骤: 1、用户登录成功之后,服务端会给用户生成一个唯一有效的凭证,这个有效值被称为token 2、当用户每次请求其他的业务接口时,需要在请求头部带上token 3、 2、timestamp 表示时间戳,当请求的时间戳与服务器中的时间戳,差值在5分钟之内,属于有效请求,不在此范围内,属于无效请求 3、nonce 表示临时流水号,用于防止重复提交验证 4、signature 但是缺少对数据自身的安全保护,即请求的参数和返回的数据都是有可能被别人拦截获取的,而这些数据又是明文的,所以只要被拦截,就能获得相应的业务数据。 同时,在生产环境,采用https方式进行传输,可以起到很好的安全保护作用!
2.2K40编辑于 2022-02-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号