漏洞逻辑业务包括_API攻击盛行,如何基于业务基线进行防护_新手信息安全知识点

原创 于 2024-08-07 18:46:37 发布 · 449 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防护 #攻击 #应用

漏洞逻辑业务包括_API攻击盛行,如何基于业务基线进行防护_新手信息安全知识点

企业的上云和数字化转型,将越来越多的业务运行于网络之上。为适应敏捷开发等新型应用架构,API的使用数量更加普遍并持续增长。企业的应用开发越来越依赖API之间的相互调用,同时通过API传递的数据量也随之迅速增长。

不可避免地,暴露于网络中的企业应用API亦成为恶意攻击者的目标。近年来,与API攻击相关的数据泄露事件屡见不鲜,其中不乏企业重要业务数据甚至个人身份数据等敏感信息,给企业带来极大的数据安全威胁。

API安全不容乐观

虽然我们已经发现并且感知到API安全风险,但又不得不面对的是,事实已证明传统的安全技术并不能有效地阻止API攻击,企业需要在全新的安全防护方法。

据的一份预测报告,2022年起API已成为网络攻击者利用最频繁的媒介载体之一,而通过攻击API可以非授权使用企业的各类应用数据,并且由API安全问题引起的数据泄露风险在2024年将翻倍。

频出的API攻击事件不断向我们证明, API治理不当导致的攻击、欺诈以及数据泄露风险正在对企业的构成新的安全挑战。同时,在AI技术的发展,被滥用的AI让攻击手段越来越自动化甚至智能化, API攻击更快、更准确,API面临的威胁越来越复杂化。

业务逻辑漏洞_漏洞逻辑业务包括_漏洞逻辑业务包括哪些

最新发布的《潜伏在阴影之中:攻击趋势揭示了 API 威胁》报告证实,API在Web攻击里面所占的比例越来越高,2023年在所有的Web攻击类型里面针对API的攻击占了将近30%。

业务逻辑漏洞_漏洞逻辑业务包括_漏洞逻辑业务包括哪些

北亚区技术总监 刘烨

北亚区技术总监刘烨表示,这个比例可能还会继续增高,因为越来越多的流量也会变成这种API的流量,比如很多原生的手机应用跟数据中心之间都会通过API做数据传输。

针对于API的攻击方法和攻击向量非常多样化,这对于企业来说要保护应用API的难度大大增加,因为要考虑的方面非常多,刘烨解释道:API防御可能会面临更大的挑战。企业要找到业务逻辑可能会出现的漏洞,然后去降低风险,降低企业遭受攻击所造成的损失。

基于业务场景攻防

正如刘烨所述,与传统Web应用的防护不同,API的安全防护要求更为广泛,往往是深入到业务逻辑中,并且涉及到多个环节,对任何环节的监测不足都会影响到整体的安全防护效果。

企业如何着手做API防护?刘烨特别建议要重点考虑三个方面的问题。

第一,可视性。企业应该给予API足够的可视性。比如对于一些API接口的开发过程,开发人员通过这个接口在开发、测试、上线的时候会更容易取得某些数据,但是当开发者离开以后,这些接口是不是仍然存在,其实不一定有完整的审计,也不一定有安全开发合规性流程。这种情况下,当这些API推到互联网以后就可能不具备足够的可视性。

第二,漏洞风险。企业要了解上线的应用里,易遭受攻击的风险点到底有哪些,会不会出现一些已知的漏洞等等。这就要求企业要遵循最佳实践去开发,最大化减少漏洞的出现,从而减少风险点。

第三,业务逻辑。API攻击的变化多样不是针对于应用本身的,而是针对业务逻辑的。因为这种针对业务逻辑的攻击,可能获取更具价值的东西。所以在业务逻辑方面,企业需要建立在不同业务场景下产生的基线,然后确定哪些是异常情况。

刘烨继续解释道:所有的业务场景可以分为几个部分,首先是API的隐患,如果是注入类型的隐患,它与业务场景关系不大,但与API的开发技术相关。当使用标准技术或实施方法,遵循软件开发流程时,我们应确保在这个过程中减少漏洞。

跟业务场景相关隐患的是从技术上看是没有问题的、合乎逻辑的,但是从业务上来看就是有问题的,比如过度收集用户数据可能与业务场景相关。

不同业务场景有很多不同防护重点。例如,在金融行业,对信用卡使用和交易安全防护的要求可能与社交媒体完全不同。在社交媒体中,用户信息可能是防护重点,而在金融行业中,账户资金安全可能更为重要。因此,在不同业务场景下,按照业务逻辑,实施有效的保护措施非常重要。

对企业更重要的是根据业务场景建立自己的模型和基线,然后判断是否存在针对特定业务场景的攻击。因此,可以分为两部分:首先是针对传统注入类型攻击的防护,这与API开发技术密切相关。通过开发最佳实践,安全产品和服务,可以大大帮助用户解决安全隐患。

对于基于漏洞的渗透,刘烨认为可以通过这六步方法,帮助用户提高API安全防护水平,减少潜在漏洞对系统的渗透。

首先,记录API中的所有相关日志。例如, API 产品利用大量离线分析和基于API访问日志的建模来建立基准。

第二,是要了解所有API的端点,这被称为“API发现”,这一点非常重要。许多API的问题可能源于在开发过程中留下的接口,这些接口可能仅供内部调用或用于部门间协作。

第三,是进行风险审计,需要确定哪些记录是敏感的,并建立审计方案来审查这些风险并建立基线。

第四,建立基线后进行行为检测,当用户违反了应用逻辑时,应能识别出该用户。

第五,响应,一旦识别出问题,需要给出防护措施的指导,如限制或中断用户访问。

第六,事后分析,需要调整模型以应对可能的风险和恶意攻击,这有助于优化整体策略。

API的安全防护已成为企业数据安全的重要关注点,如何确保API交互过程中保护数据数据的完整性、机密性和可用性,将会是未来一段时间内企业与专业安全提供商要共同面对的问题。

~

网络安全学习,我们一起交流

~

【软考中级网络工程师】知识点之计算机病毒及防护
邓邓子的博客
08-17 1282
本文围绕软考中级网络工程师知识点中的计算机病毒及防护展开,详解病毒的定义、原理与发展历程,剖析其繁殖性、破坏性等特点,介绍引导扇区病毒、网页脚本病毒等多种类型,还阐述了安装防护软件、更新系统等防护措施。文中结合图表直观呈现病毒感染、传播等过程,助力读者全面理解计算机病毒相关知识,为软考备考及实际防护提供指导。
逻辑漏洞类型/漏洞逻辑业务包括-新手黑客教程
程序员六七的博客
08-07 594
API攻击盛行,如何基于业务基线进行防护
网络安全进阶学习第十六课——业务逻辑漏洞介绍
p36273的博客
09-15 1750
– 实际上,我们口口声声的业务逻辑,是只用代码实现的真实业务的规则映射。注意“规则”这个词,简单说,一个业务中,存在什么逻辑,可以通过在纸上画出不同业务对象之间的联系和约束,并将这些联系和约束一条条列出来,形成一个列表,而这列表中的每一条,就是一条规则,这些规则的总和,就是这个业务业务逻辑,而且是全部业务逻辑,你不能再多列出一条了。
【软考】信息安全&多媒体&标准化知识产权复习指南
小哈里的博客
11-03 4496
1、信息安全 根据考试大纲,本章要求考生掌握以下几个方面的知识点。 (1)信息系统安全基础知识 (2)信息系统安全管理 (3)保障完整性与可用性的措施 (4)加密与解密机制基础知识 (5)风险管理(风险分析、风险类型、抗风险措施和内部控制) (6)计算机安全相关的法律、法规基础知识 从历年的考试情况来看,本章的考点主要集中于加密解密技术、网络安全、计算机病毒等方面。 安全基础技术: 在软件设计师的考试中,经常会考到与安全相关的一些基础概念及技术原理,如:区分对称与非对称算法 ,什么情况下用哪种密钥加密解密
无线电遥控器传安全漏洞 当中潜藏5大攻击手法
SBFPLAY直播记录馆
05-27 5310
随着企业操作科技(OT)自动化的程度越来越高,原先封闭的环境可能为此与IT环境和因特网连接,再加上黑客攻击的门坎逐年降低,已非高不可攀。在这样的态势下,原先大家普遍认为,长年持续运作的操作科技,理应不致遭遇到资安威胁,实际上却可能潜藏了相当严重的漏洞。而这样的威胁,不只各资安厂商的年度报告中都特别提及,今年的资安大会上,有许多专家也表示他们的看法,其中不少是关注在操作科技的环境里,装置长期缺乏修补...
业务风控安全】如何做好业务反欺诈避免黄牛抢走你的保时米?
全网唯一认证 | 信息安全圈 | 知识星球 | 网安社区 | 共筑网安长城
04-03 2109
小米SU7,最近频频霸榜微博热搜榜前三的热词。纵观任意一家火爆产品的生产商,都必须时刻将业务反欺诈放在首位,简单的说就是把黄牛干死或者被黄牛干死。雷老板3月31日发博说小米已经成功拦截了大量黄牛订单,然后回收了这些订单数据,释放出来的库存将开启第二波发售。看到这里很多同学会问,面对海量的订单数据,小米是如何发现其中异常的订单数据并且甄别出来的呢?本篇博客将以互联网企业的视角从用户终端、数据画像分析、风控场景和综合数据决策几个方面进行介绍企业反欺诈风控技术。
逻辑漏洞挖掘之——逻辑漏洞概述
温柔小薛的博客
04-21 1442
231qwef
【整理分享】2019年▪尔雅通识课▪《移动互联网时代的信息安全防护》▪期末考试答案
热门推荐
萌新菜鸡码dog
07-07 5万+
分享给有需要的人。 一、单选题 (题数:40,共 40.0 分) 1.美国海军计算机网络防御体系体现了信息安全防护的()原则(1.0分)1.0 分 A、整体性 B、分层性 C、集成性 D、目标性 我的答案:B 2.以下对信息安全风险评估描述不正确的是()。(1.0分)1.0 分 A、风险评估是等级保护的出发点 B、风险评估是信息安全动态管理、持续改进的手段和依据 C、评估安全事件一旦发生,给组织和...
逻辑漏洞概述
jpygx123的博客
10-17 3555
访问: 主体与客体之间的信息流动。主动的是主体,被动的是客体。 主体访问客体的四个步骤: 身份标识->身份验证(数据库匹配信息,判断身份是否合法)->授权(判断身份是谁,管理员或正常账户)->审计(记录操作) 访问控制模型: 自主访问控住(DAC 大部分使用):由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。 强制访问控制(MAC 军方或重要政府部门用):安全...
逻辑漏洞总结
Darklord.W
04-10 1万+
总结逻辑漏洞名称及用法: 1、什么是逻辑漏洞 之所以称为逻辑漏洞,是因为代码之后是人的逻辑,人更容易犯错,是编写完程序后随着人的思维逻辑产生的不足。sql注入、xss等漏洞可以通过安全框架等避免,这种攻击流量非法,对原始程序进行了破坏,防火墙可以检测,而逻辑漏洞是通过合法合理的方式达到破坏,比如密码找回由于程序设计不足,会产生很多问题,破坏方式并非向程预防思路 1.cookie中设定多个验证...
直播API分类.zip_API_spiritxx5_分类api_直播_直播API
09-15
直播API的分类功能有以下几个关键知识点: 1. **直播类别查询**:开发者可以使用分类API获取平台上的所有直播类别,这有助于用户根据兴趣筛选和发现内容。这些类别可以是预先定义好的,如音乐、游戏、教育、娱乐等...
PHP_JSON_API_自动化开发_前后端分离项目适用_1741873566.zip
03-14
在当前的软件开发领域,前后端分离已成为一种常见的开发模式,它使得前端开发和后端开发可以独立进行,提高了开发效率和项目的可维护性。PHP作为服务器端编程语言之一,在网站开发领域占有重要地位。JSON...
【后台研发岗】面试精华总结(地表最全)。包含C_C++,算法,操作系统,计算机网络,Linux,网络编程,信息安全,数据
09-08
了解常见安全漏洞防护措施对于编写安全可靠的后端服务至关重要。 数据库知识是后台开发的基础,无论是关系型数据库还是非关系型数据库,面试中都会涉及到SQL编程、事务、索引优化等知识。对于数据库的设计、性能...
基于SSM与Vue架构的病人跟踪治疗信息管理系统设计与实现(含源码及文档)
12-22
基于SSM架构与Vue技术构建的病人治疗追踪管理系统,采用Java编程语言实现业务逻辑,并以MySQL数据库作为数据存储支持。该系统主要包含三个用户角色:管理员、病人及普通访客。 管理员具备的功能模块包括:主界面、个人设置、病人档案管理、病例信息采集、预约安排、医生信息维护、核酸检测报告上传管理、行动轨迹记录管理、疾病分类配置、病人治疗进度跟踪、留言板处理以及系统参数管理。病人用户可操作:主界面、个人设置、病例信息查看、预约申请、医生查询、核酸检测报告上传、行动轨迹上报、个人治疗状态查询。访客端提供:首页浏览、医生信息展示、医疗资讯发布、留言反馈提交、个人中心、后台入口及在线咨询服务。 系统设计注重代码结构的清晰性与可维护性,强调功能实用性和界面简洁度,同时保持较强的扩展适应能力,便于后续功能升级与日常运维。 项目已通过实际运行测试,开发环境配置如下: - 编程语言:Java - 开发框架:Spring Boot - Java开发工具包:JDK 1.8 - 应用服务器:Tomcat 7 - 数据库系统:MySQL 5.7 - 数据库管理工具:Navicat 12 - 集成开发环境:Eclipse或IntelliJ IDEA - 项目构建工具:Maven 3.3.9。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
电力系统单机无穷大电力系统短路故障暂态稳定Simulink仿真(带说明文档)
最新发布
12-22
【电力系统】单机无穷大电力系统短路故障暂态稳定Simulink仿真(带说明文档)内容概要:本文档围绕“单机无穷大电力系统短路故障暂态稳定Simulink仿真”展开,提供了完整的仿真模型与说明文档,重点研究电力系统在发生短路故障后的暂态稳定性问题。通过Simulink搭建单机无穷大系统模型,模拟不同类型的短路故障(如三相短路),分析系统在故障期间及切除后的动态响应,包括发电机转子角度、转速、电压和功率等关键参数的变化,进而评估系统的暂态稳定能力。该仿真有助于理解电力系统稳定性机理,掌握暂态过程分析方法。; 适合人群:电气工程及相关专业的本科生、研究生,以及从事电力系统分析、运行与控制工作的科研人员和工程师。; 使用场景及目标:①学习电力系统暂态稳定的基本概念与分析方法;②掌握利用Simulink进行电力系统建模与仿真的技能;③研究短路故障对系统稳定性的影响及提高稳定性的措施(如故障清除时间优化);④辅助课程设计、毕业设计或科研项目中的系统仿真验证。; 阅读建议:建议结合电力系统稳定性理论知识进行学习,先理解仿真模型各模块的功能与参数设置,再运行仿真并仔细分析输出结果,尝试改变故障类型或系统参数以观察其对稳定性的影响,从而深化对暂态稳定问题的理解。
这是一个基于Prisma和SQLite数据库构建的现代化轻量级且开箱即用的个人作品集展示平台后端服务系统_该项目核心功能包括用户认证授权作品数据模型管理文件上传存储以及提供标.zip
12-22
这是一个基于Prisma和SQLite数据库构建的现代化轻量级且开箱即用的个人作品集展示平台后端服务系统_该项目核心功能包括用户认证授权作品数据模型管理文件上传存储以及提供标.zip
基于PSO算法优化支持向量机参数的MATLAB仿真源码:SVM与PSO-SVM性能对比
12-22
本研究聚焦于运用MATLAB平台,将支持向量机(SVM)应用于数据预测任务,并引入粒子群优化(PSO)算法对模型的关键参数进行自动调优。该研究属于机器学习领域的典型实践,其核心在于利用SVM构建分类模型,同时借助PSO的全局搜索能力,高效确定SVM的最优超参数配置,从而显著增强模型的整体预测效能。 支持向量机作为一种经典的监督学习方法,其基本原理是通过在高维特征空间中构造一个具有最大间隔的决策边界,以实现对样本数据的分类或回归分析。该算法擅长处理小规模样本集、非线性关系以及高维度特征识别问题,其有效性源于通过核函数将原始数据映射至更高维的空间,使得原本复杂的分类问题变得线性可分。 粒子群优化算法是一种模拟鸟群社会行为的群体智能优化技术。在该算法框架下,每个潜在解被视作一个“粒子”,粒子群在解空间中协同搜索,通过不断迭代更新自身速度与位置,并参考个体历史最优解和群体全局最优解的信息,逐步逼近问题的最优解。在本应用中,PSO被专门用于搜寻SVM中影响模型性能的两个关键参数——正则化参数C与核函数参数γ的最优组合。 项目所提供的实现代码涵盖了从数据加载、预处理(如标准化处理)、基础SVM模型构建到PSO优化流程的完整步骤。优化过程会针对不同的核函数(例如线性核、多项式核及径向基函数核等)进行参数寻优,并系统评估优化前后模型性能的差异。性能对比通常基于准确率、精确率、召回率及F1分数等多项分类指标展开,从而定量验证PSO算法在提升SVM模型分类能力方面的实际效果。 本研究通过一个具体的MATLAB实现案例,旨在演示如何将全局优化算法与机器学习模型相结合,以解决模型参数选择这一关键问题。通过此实践,研究者不仅能够深入理解SVM的工作原理,还能掌握利用智能优化技术提升模型泛化性能的有效方法,这对于机器学习在实际问题中的应用具有重要的参考价值。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
jank_record_1766403318764055404.pb
12-22
jank_record_1766403318764055404.pb
分层模糊系统:梯度下降与递推最小二乘法联合辨识研究(Matlab代码实现)
12-22
分层模糊系统:梯度下降与递推最小二乘法联合辨识研究(Matlab代码实现)内容概要:本文围绕“分层模糊系统:梯度下降与递推最小二乘法联合辨识研究”展开,介绍了基于Matlab代码实现的分层模糊系统参数辨识方法。通过结合梯度下降法和递推最小二乘法,实现对系统结构和参数的高效联合辨识,提升模型精度与收敛速度。文中详细阐述了算法原理、实现步骤及仿真验证过程,展示了该方法在非线性系统建模与辨识中的有效性,适用于复杂动态系统的建模与控制研究。; 适合人群:具备一定Matlab编程基础和系统辨识理论背景的研究生、科研人员及自动化、控制工程等相关领域的技术人员。; 使用场景及目标:①应用于非线性动态系统的建模与参数辨识;②用于提高模糊系统训练效率与预测精度;③支持科研复现、算法优化及工程实际中的系统辨识任务; 阅读建议:建议读者结合提供的Matlab代码进行实践操作,深入理解两种优化算法的融合机制,并尝试在不同数据集或应用场景中进行迁移与改进,以掌握其核心思想与实现技巧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值