API团队须知的防DDoS十大安全威胁-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > API团队须知的防DDoS十大安全威胁

API团队须知的防DDoS十大安全威胁

小墨安全管家 2020-07-30 09:36 CC防护 89 ℃
DDoS防御

1. 限制不安全的资源访咨询

Second Call: GET /items?skip=10&take=10 

(https://www.moesif.com/blog/technical/cors/Authoritative-Guide-to-CORS-Cross-Origin-Resource-Sharing-for-REST-APIs/?utm_source=dzone&utm_medium=blog&utm_campaign=placed-article&utm_term=top-10-api-security-threats)一文。

常规的爱护机制是记录那些大于100或1000条的条目,并抛出异常信息。下面是两种常见的默认爱护想法:

假如不采纳一次性令牌或双因素身份验证,API将无法爱护其密钥。

9. 正确地处理授权

2. 防止分页攻击

10. 爱护内、外部端点

关于数据型API,合法客户大概需要猎取并同步大量的记录,并经过各种cron作业来实现。这么人为地限制分页的大小,会迫使API频繁地举行同一种操作,进而落低了整体吞吐量。能够讲,此类最大条目限制想法要紧是为了满脚内存和可扩展性的要求,以及防止某些DDoS攻击。

6. 经过正确的SSL来确保服务器安全

如下代码段所示,经过编写简单的足本,在重复的访咨询之间,随机休眠一段时刻。固然,此类防护关于攻击者来讲,并非总是奏效。

API的使用者能够直截了当访咨询到密钥,例如经过Postman或CURL举行调试。这么任何一具开辟人员都能够将含有API密钥的CURL命令,意外地复制/粘贴到诸如GitHub Issues或Stack Overflow之类的公共论坛中。

7. 确保正确地配置缓存头

然而,假如该实体中含有任何PII(个人身份信息)或其他敏感信息,这么攻击者就大概经过该端点,猎取数据库中的所有实体信息。一旦这些实体的PII被意外泄露,竞争对手就可以判断出贵企业的采购信息和客户状况,甚至是大量的邮件列表。假如您对此有兴趣的话,能够参看《怎么清除Venmo数据》

(https://22-8miles.com/public-by-default/)一文。

}); 

3. 爱护API密钥池

5. 阻挠DDoS攻击

现如今,绝大多数的对于API的访咨询和调用都需要用到API密钥。假如某个请求中没有API密钥,则会被自动拒绝。这么,我们该怎么处置那些通过验证的请求呢?目前,最简单的想法是利用每个API密钥的速率限制计数器,例如:我们能够预先设定每分钟能够处置X个请求,这么关于超过那个数量级的请求,则以带有HTTP 429的响应方式予以拒绝。目前,我们能够采纳诸如漏斗和固定窗口计数器等多种算法,来实现这一点。

(请参见--https://owasp.org/www-project-api-security/),来防范各种零日漏洞的利用。

8. 正确地添加API日志记录

API开发了全新的业务模式,用户能够在其中以编程的方式访咨询到目标API平台。然而,这也会使得针对DDoS爱护变得十分棘手。大多数DDoS的爱护机制是清洗或拒绝攻击者发来的大量请求。然而为了让混淆在僵尸流量中正常请求可以顺利经过,我们需要对HTTP请求举行指纹识别。然而关于API服务而言,这是极其艰难的,怎么讲所有的流量都看上去像僵尸流量,而非来自扫瞄器的Cookie。

抵御此类攻击的最简单想法是要求用户注册自个儿的服务,并生成对应的API密钥。我们能够经过使用验证码和双因素身份验证,来阻挠各种僵尸(Bot)流量。除非是合法的业务用例,否则新注册服务的用户不可以以程序的方式,生成API密钥。相反,惟独那些受信任的用户,才具有生成API密钥的能力。据此,我们能够确保在帐户级别(不仅仅针对每个API密钥)上,对异常行为举行异常检测。

同一项API服务有大概具有内、外不同的使用端点。这么,除了使用身份验证和授权等差不多爱护方案之外,我们还应经过启用负载均衡器或API网关,以确保这些端点不大概彻底暴露于公共互联网上。此外,我们也能够经过提供多级安全性(一种常见的预防策略),来举行API的防护与加持。

通常事情下,很多API并不使用标准的认证头,而是类似于X-Api-Key的自定义头。如下代码段所示,缓存服务器在并不知晓此类请求是否已经过验证的事情下,只能挑选对其举行缓存。可见,我们应该正确地配置缓存操纵(Cache-Control)头。

First Call: GET /items?skip=0&take=10  


DDoS防御

当前位置:主页 > CC防护 > API团队须知的防DDoS十大安全威胁

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119