www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

研究發現API存重大漏洞 威脅云計算安全

2013-10-25 09:39:34 IT168  點擊量: 評論 (0)
云服務允許第三方通過所謂的web應用程序變成接口(或者說API)來訪問應用程序和數據,然而,很多應用程序開發人員沒有適當地保護這種訪問,讓應用程序和數據處于危險之中?! ∪ツ?0月,來自美國德州大學奧
    云服務允許第三方通過所謂的web應用程序變成接口(或者說API)來訪問應用程序和數據,然而,很多應用程序開發人員沒有適當地保護這種訪問,讓應用程序和數據處于危險之中。

  去年10月,來自美國德州大學奧斯汀分校和斯坦福大學的研究人員分析了各種知名web服務,并發現暴露給第三方開發人員的接口存在重大漏洞。亞馬遜和PayPal的支付服務、Trillian即時通訊服務、Chase手機銀行服務和其他web應用程序在它們的SSL(安全套接字層)協議部署中都存在漏洞,當通過API訪問時,這些應用程序將面臨威脅。

  其結果是,應用程序可能被誘騙為允許攻擊者通過API訪問客戶數據。研究人員在其報告中表示:“大多數這些漏洞的根本原因是底層SSL庫中API糟糕的設計。”

  在2012年,API的問題其實就已經引起了一些關注。在11月份,安全研究人員Carlos Reventlov發現圖片分享服務Instagram中存在一個漏洞,該漏洞將允許中間人攻擊者訪問或者刪除個人的照片。在4月份,微軟研究所發現Facebook、Google ID和PayPal的單點登陸服務中使用的邏輯存在嚴重漏洞。

  Solutionary的安全工程技術研究小組(SERT)的威脅分析師Christopher Barber表示,這個問題的解決辦法并不是什么新技術,而是在于對細節的關注。

  Barber表示,“部署水平并沒有達到我們期望的水平,非常參差不齊,在軟件開發中,你必須在某個時間期限內實現某些功能,而安全總是被拋在腦后。”

  按時完成Web應用程序的壓力,加上部署SSL的復雜性,使創造安全的API非常具有挑戰性。來自這兩所大學的研究人員建議開發人員應該更加明確應該如何正確地使用其API和SSL庫。此外,云服務應該定期對其代碼進行黑盒測試或者模糊測試,來看看當攻擊者試圖攻擊時應用程序的行為。

  幫助客戶管理API的公司Layer 7首席技術官K. Scott Morrison表示,就其性質而言,API給web應用程序帶來更大的攻擊風險。“對于攻擊者而言,API是非常有指示性的工具,能夠告訴你應用程序如何運行,”他表示,“它具有自我描述性,能夠為應用程序提供路線圖。”

  除了正確加密和審計應用程序外,開發人員還需要考慮身份問題,誰在訪問API以及他們被允許訪問哪些類型的數據。讓問題更加復雜的是,大部分時候是應用程序,而不是特定的人在訪問數據。

  最后,很多web開發人員類似黑客的態度并不是云服務供應商及其客戶對處理API應該采取的方法。Morrison補充說,“我們做了很多重新使用的工作,我們的一些壞習慣也被帶入API世界。不幸的是,這些習慣在網絡世界在API世界將會帶來非常破壞性的影響。”

大云網官方微信售電那點事兒

責任編輯:和碩涵

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 国产成人亚洲精品2020| 91看片淫黄大片欧美看国产片| 国产精品免费精品自在线观看| 成年人一级片| 成人国产精品毛片| 国产91啦| 亚洲女人被黑人猛躁进女人| 日本人的色道免费网站| 欧美日韩精品一区二区免费看| 国产日比视频| 国产美女又黄又爽又色视频免费| 国产男女免费视频| 国产欧美日韩一区二区三区在线| 视频一区二区三区在线| 欧美线在线精品观看视频| 欧美精品一区二区三区在线| 国产码一区二区三区| 国产成人在线播放视频| 成年人一级片| 91香蕉成人免费高清网站| 国产xh98hx在线观看| 91情侣高清精品国产| 亚洲视频网站在线观看| 色在线看| 97在线免费视频观看| 亚洲成在线| 欧美成人片在线| 久久福利国产| 成人综合在线观看| 在线观看成年视频| 色老久久| 一级毛片一级毛片一级毛片| 国内精品1区1区3区4区| 国产精品国产亚洲精品不卡| 最新日韩欧美不卡一二三区| 国产高清在线精品| 成年人毛片网站| 亚洲美女视频网站| 欧美精品一区二区三区视频| 亚洲精品久久久久综合中文字幕| 国产午夜不卡在线观看视频666|