API安全应用场景系列之三:API业务防护
我们分享的“API业务异常侦测”中,我们通过Imperva API业务异常侦测解决方案自动化形成API业务基线(同时可导出Swagger文件),基于基线我们可以针对业务进行异常检测;同时作为API安全防
|
我们分享的“API业务异常侦测”中,我们通过Imperva API业务异常侦测解决方案自动化形成API业务基线(同时可导出Swagger文件),基于基线我们可以针对业务进行异常检测;同时作为API安全防护的闭环措施应用程序无效,安全团队可以把业务异常侦测解决方案中基于Catalog Report生成的Swagger文件,作为安全基准导入到Imperva WAF设备,形成API应用白名单,利用WAF的防护特性对API应用进行安全防护
Imperva - SDK是一个用于Python的Imperva WAF Open API SDK,它允许Python开发人员编写与Imerva管理平台 通信的软件,通过imperva-sdk,用户可以管理和配置MX,包括以JSON文件的方式倒入,进行配置 ●Imperva WAF Open API SDK参考: ●把Swagger文件倒入WAF的代码参考: 固定布局 工具条上设置固定宽高 背景可以设置被包含 可以完美对齐背景图和文字 以及制作自己的模板
●通过SDK倒入与业务同事核对过的Swagger文件,作为API的防护Policy,准确性高,不需要WAF再进行学习,马上可以进行防护阻拦,提高了安全性 ●通过SDK实现Swagger文件的倒入形成防护Policy,可以与API业务CI/CD流程结合,实现业务的全自动化发布,适应API业务的快速变化
通过使用DDoS攻击关键应用API,造成了三分之一的网络陷入瘫痪。 对于部分API而言,一旦遇到DDoS攻击,使其接收到无效输入,便会用尽大量计算资源。 DDoS攻击可能会对API前端的Web应用程序造成相当大的干扰。 Imperva WAF通过有效使用速率限制、恶意IP封杀等策略,可抵挡此类攻击。这些策略与API分析组合使用时,可为API提供全面保护。 Imperva WAF的速率限制的维度有多种选择,而且与其他判断条件一起进行组合,提供足够的灵活性。
Imperva WAF的ThreatRadar是Imperva的威胁情报,实施对各种恶意IP的识别和封堵,减少DDoS的风险,对API 应用进行保护。
Web API是现代Web和移动应用程序的支柱,Imperva WAF用自动的积极安全模型保护你的API,检测应用程序中的漏洞,防止它们被利用。 A1 - 失效的对象级授权 攻击者通过尝试攻击对象级别授权的API接口,来获得未经授权的数据,比如通过可预测订单ID值来查询所有订单信息。 Imperva WAF通过积极的安全模型Application profile、被动的安全模型Signatures、Session cookie保护、防护Session hijacking、User tracking、GEOIP等技术实现部分的防护覆盖; 固定布局 工具条上设置固定宽高 背景可以设置被包含 可以完美对齐背景图和文字 以及制作自己的模板 A2 - 失效的用户认证 开发者对API身份认证机制设计存在缺陷或无保护设计,导致身份认证机制无效,比如弱密码、无锁定机制而被暴露破解等。 Imperva WAF通过积极的安全模型Application profile、Session cookie保护、防护Session hijacking、User tracking、威胁情报、GEOIP等技术实现部分的防护覆盖; 固定布局 工具条上设置固定宽高 背景可以设置被包含 可以完美对齐背景图和文字 以及制作自己的模板 A4 - 缺乏资源和速率控制 未对API做资源和速率限制或保护不足,导致被攻击。比如用户信息接口未做频次限制导致所有用户数据被盗。 Imperva WAF通过威胁情报、http请求限速、被动的安全模型Signatures、GEOIP等技术实现比较全的防护覆盖
固定布局 工具条上设置固定宽高 背景可以设置被包含 可以完美对齐背景图和文字 以及制作自己的模板 A5 - 失效的功能级授权 (编辑:武汉站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
