58同城 2021 58同城 第2届 安全技术沙龙 业务风控建设&应用安全实践 安全应急响应中心 DATE-2021.12.17 58安全 线上直播 分享主题 API 安全 议题介绍 本议题主要介绍API安全的发展现状、快手API安全的痛点 难点及对应的解决方案。个人觉得2021年OWASPTOP10 更加符合甲方现状,像前五大风险:越权、加密失败、注入 不安全设计和不安全配置。那这些痛点应该如 01 OWASP TOP 10 OWASP Top10 A03:2021-注入 A05:2021-配置错误 02 API 安全痛点 甲方漏洞现状 编号 漏洞标题 定义 1 水平越权 对象级别的越权,通过某个遍历参数可以访问到其他对象资源 2 过度数据暴露 3 注入 4 业务安全缺陷 5 安全配置错误 6 高并发缺陷 依赖通用方法,开发人员倾向于公开所有对象属性而不考虑其各自的敏感度,依赖客户端 在向用户显示数据前执行数据筛选,返回的数据也缺失脱敏操作 当不受信任的数据作为命令或查询的一部分发送给解释器 时,就会出现注入缺陷,如 SQL、NoSQL、命令注入等。 攻击者的恶意数据可诱使解释器在未经恰当授权的情况下 执行非预期的命令或访问数据 业务逻辑上的缺陷,主要是过分信任用户的输入,这些漏洞跟业务强相关 安全错误配置通常是由于不安全的默认配置、不完整或临 时配置、开放云存储、开发 swagger,配置错误的HTTP 头、不必要的 HTTP 方法、允许跨域资源共享(CORS)和包 含敏感信 息的详细错误消息造成的 攻击者通过并发http/tcp请求而达到次获奖、多次收获、多次获赠等非正常逻辑所能触发 的效果,一般都是系统幂等性设计缺失或者错误导致的额 痛点 API多 发版快 越权占比高 人力支撑困难 敏感多数据 03 API 安全收敛体系 SDL BP架构 漏洞收敛体系 应用安全三板斧 应用安全三板斧之IAST API 网关 API 管控平台 提问环节

pdf文档 廖新喜 甲方API安全落地实践

安全文档 > 网络安全 > > 文档预览
19 页 0 下载 16 浏览 0 评论 0 收藏 3.0分
温馨提示:当前文档最多只能预览 3 页,若文档总页数超出了 3 页,请下载原文档以浏览全部内容。
廖新喜 甲方API安全落地实践 第 1 页 廖新喜 甲方API安全落地实践 第 2 页 廖新喜 甲方API安全落地实践 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-09-01 16:25:54上传分享
给文档打分
您好可以输入 255 个字符
github5文库的中文名是什么?( 答案:github5 )
评论列表
  • 暂时还没有评论,期待您的金玉良言