天天爱天天插_xxxwww在线观看_久久久在线_国产少妇在线_亚洲高清www色好看美女_麻豆av久久av盛宴av_51成人精品网站_欧美性猛交_国产成在线观看免费视频_国产极品免费_无套内谢少妇毛片aaaa片免费_一区二区三区无码不卡无在线

隨著云計算、移動應用和物聯網高速發展，API（應用程序編程接口）正被廣泛應用。作為現代應用的基本組成部分，API 使開發人員能夠迅速集成第三方服務、豐富功能并推動創新。無論是擴展醫療保健服務還是推動電子商務，API 都已經無縫地融入到我們數字生活的基礎中。也正因此，利用 API 漏洞進行的網絡攻擊正頻繁發生。

01 API 的網絡攻擊數據泄露事件頻發

以下幾個公司的案例展示了 API 安全性不足所帶來的潛在風險。

Quest Diagnostics

由于第三方 API 中的漏洞，美國頂級臨床實驗室服務提供商之一的 Quest Diagnostics 發生了重大數據泄露。攻擊者利用了第三方支付頁面中的此漏洞（可通過暴露的API訪問），最終導致約 1190 萬名患者的醫療記錄被未經授權訪問。

Latitude Financial

總部位于墨爾本的 Latitude Financial 在 2023 年 3 月發生了嚴重的數據泄露事件，導致超過 1400 萬條記錄被泄露。受影響的數據包括近 800 萬個駕駛執照、53000 個護照號碼和多份月度財務報表。

Dropbox

2022 年 11 月 1 日，網絡罪犯成功地侵入了托管在 GitHub 上的 Dropbox 內部代碼倉庫。這次未經授權的訪問涉及了 130 個內部代碼倉庫，其中一些存儲了 API 密鑰和用戶數據。攻擊者通過發送類似于? CircleCI?（一種廣泛使用的 CI/CD 任務流平臺）的欺騙性電子郵件來實施網絡釣魚活動。收件人被引導至一個偽造的 CircleCI 網頁，并被提示輸入他們的 GitHub 憑據。隨后，他們收到了一次性密碼請求，這增加了欺騙性。

Peloton

2021 年 5 月，一名安全研究人員發現互動健身平臺 Peloton 存在一個漏洞，在該漏洞中，可以向 Peloton 的后端 API 提出未經驗證的請求，而這些 API 是其運動設備和訂閱服務不可或缺的組成部分。這個漏洞允許直接訪問 Peloton API 端點，可能會暴露大量個人身份信息（PII），從而影響 Peloton 客戶的隱私。盡管 Peloton 最終解決了 API 漏洞，但其客戶的 PII 暴露程度仍不確定。

02 加強 API 安全性：Fortify API 安全測試十大優勢

由于基于 API 的漏洞越來越多，企業越來越致力于加強對 API 相關風險的了解和控制。在尋求 API 安全測試解決方案時，Fortify 可以幫助您有效識別 API 的弱點和漏洞。以下是 Fortify 在滿足 API 安全測試需求方面的十大獨特優勢：

01 廣泛的 API 安全評估

Fortify 提供全面的 API 安全測試方法，包括動態分析 (DAST) 和靜態分析 (SAST)。這樣就能在開發生命周期的各個階段檢測 API 中的漏洞和安全缺陷。Fortify 具備混合分析的獨特能力，確保從更全面的角度看待 API 安全性，這使其有別于該領域的許多專業競爭對手。

02 真實的測試場景

許多 API 需要身份驗證才能訪問敏感數據或執行重要操作。在沒有身份驗證的情況下對 API 進行測試可能會產生虛假的安全感。Fortify 具備處理各種 API 身份驗證方法（包括MFA）的能力，有助于模擬真實情況，從而提高安全性測試的準確性和相關性。

03 API 攻擊面評估

對一個應用程序中包含的 API 有深入了解，使安全測試人員能夠全面評估應用程序的攻擊面。這確保了潛在的漏洞或入口點不會被忽視。Fortify DAST 具備在抓取網絡應用程序時利用 schema 和 Postman 等工具發現 API 的能力。

04 為企業量身定制的可擴展性

Fortify 的設計針對可擴展性進行了優化，以滿足企業級應用程序的需求，使其成為擁有復雜而龐大的 API 環境的企業的理想選擇。

05 數據流分析

API 在規范應用程序內部數據流動方面發揮著關鍵作用。Fortify SAST 的數據流分析器能夠發現涉及被污染數據的安全問題，這些數據被用于潛在的危險用途。這種分析使得 Fortify SAST 能夠精確地識別許多不同類型的安全問題。

06 無縫集成

Fortify 可與知名開發工具、CI/CD 任務流和問題跟蹤系統無縫集成。這簡化了開發團隊將 API 安全測試無縫集成到既定工作流程中的過程。

07 第三方風險評估

許多應用程序依賴于第三方 API 和服務。當涉及到評估與第三方相關的安全風險時，識別這些依賴關系至關重要。第三方 API 中的漏洞或安全弱點可能直接影響應用程序的整體安全性。

08 安全配置評估

API 可能需要特定的配置才能安全運行。Fortify 會評估這些配置是否被正確部署，降低了由于配置錯誤導致的安全問題的風險。

09 支持法規和政策遵從

Fortify 提供的功能可以幫助企業遵循與 API 安全性相關的合規要求（包括 OWASP API 安全十大原則和 GDPR 等法規）。

10 強調補救措施

并非應用程序中的所有 API 都具有相同程度的風險。Fortify 提供全面的報告和可行的指導，以解決 API 中已識別的安全問題。這樣就能采取有針對性的補救措施，將資源用于管理敏感數據或執行關鍵功能的 API（因為這些 API 通常風險較高）。

隨著 API 在現代應用架構中不斷發揮關鍵作用，基于 API 的網絡威脅日益嚴重。從醫療保健到金融等各個行業，API 的易集成性和快速創新使其變得不可或缺。然而，對 API 接口的日益依賴也使其成為網絡罪犯尋求可利用漏洞時的重點目標。

上文列舉的幾起備受矚目的惡性事件揭示了安全性不足的 API 所帶來的風險。這些泄露事件導致了敏感信息的曝光，由此可見強化 API 安全性措施是重要且必要的。

如果您正在擴大應用程序安全的工作范圍，并計劃將 API 安全納入其中，Fortify 可提供全面的解決方案，助您解決 API 安全測試難題。

（文章來源公眾號：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

關于億道電子

上海億道電子技術有限公司是國內資深的研發工具軟件提供商，公司成立于2009年，面向中國廣大的制造業客戶提供研發、設計、管理過程中使用的各種軟件開發工具，致力于幫助客戶提高研發管理效率、縮短產品設計周期，提升產品可靠性。

十多年來，先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰略合作伙伴關系，并作為他們在中國區的主要分銷合作伙伴服務了數千家中國本土客戶，為客戶提供從芯片級開發工具、EDA設計工具、軟件編譯以及測試工具、結構設計工具、仿真工具、電氣設計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經驗積累，真正的幫助客戶實現了讓研發更簡單、更可靠、更高效的目標。

歡迎關注“億道電子”公眾號

了解更多研發工具軟件知識