主頁 > 知識(shí)庫 > 物聯(lián)網(wǎng)安全漏洞:開放的API接口

物聯(lián)網(wǎng)安全漏洞:開放的API接口

熱門標(biāo)簽:外呼線路投訴如何處理 語音電銷機(jī)器人怎么樣 湖南電銷機(jī)器人公司 系統(tǒng)外呼和群呼的區(qū)別 制作彩鈴地圖標(biāo)注號(hào)碼標(biāo)記 徐州語音電銷機(jī)器人供應(yīng)商 鞏義電話自動(dòng)外呼系統(tǒng) 重慶打卡地圖標(biāo)注 百度地圖標(biāo)注圖片變小

2015年,兩名網(wǎng)絡(luò)安全專家通過中間人攻擊的方式,對(duì)高速公路上的吉普車實(shí)現(xiàn)了遠(yuǎn)程控制。這次襲擊展示了中間人攻擊的危害性,也導(dǎo)致廠商召回了140萬輛汽車。未來79%的物聯(lián)網(wǎng)流量將通過網(wǎng)關(guān)接入,物聯(lián)網(wǎng)將貢獻(xiàn)超過500億的連接,物聯(lián)網(wǎng)因?yàn)槠渚哂虚_放性、多源異構(gòu)性、泛在性等特性,API不僅成為生態(tài)系統(tǒng)之間的交互窗口,更是構(gòu)建混合業(yè)務(wù)平臺(tái)的基礎(chǔ),已經(jīng)有不少網(wǎng)絡(luò)攻擊者將API列為首選的入侵目標(biāo)之一,物聯(lián)網(wǎng)的安全關(guān)系到個(gè)人、家庭、社會(huì)、乃至國家的安全,種種安全威脅的出現(xiàn),也在不斷的提醒著我們:萬物互聯(lián),安全先行。

物聯(lián)網(wǎng)的設(shè)備形態(tài)和功能千奇百怪,從終端、無線接入、網(wǎng)關(guān),再到云平臺(tái),涉及的環(huán)節(jié)眾多,要知道不少設(shè)備使用的操作系統(tǒng)也是不統(tǒng)一的,不是定制的就是非標(biāo)準(zhǔn)的,無形中為運(yùn)維人員增加了負(fù)擔(dān)。而在工業(yè)和制造業(yè)場景中,一些產(chǎn)線上的物聯(lián)網(wǎng)設(shè)備服役時(shí)間長達(dá)數(shù)月或數(shù)年,但安全防護(hù)措施卻非常有限。數(shù)據(jù)顯示,平均每家企業(yè)管理的API數(shù)量超過360種,其中有接近70%的接口會(huì)向合作伙伴開放,而開發(fā)者則可以借助API庫豐富代碼選擇,規(guī)模往往會(huì)達(dá)到數(shù)萬量級(jí)。正因如此,才會(huì)說調(diào)用API對(duì)接數(shù)據(jù)流或觸發(fā)響應(yīng)幾乎貫穿了每個(gè)代碼級(jí)的交互流程。然而,存在于不同IT環(huán)境中的聯(lián)網(wǎng)設(shè)備,多數(shù)是由不同廠商“組裝”起來的,硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是,有時(shí)候芯片升級(jí)了可對(duì)應(yīng)的軟件升級(jí)并沒有趕上,而安全補(bǔ)丁更新的時(shí)候組件又不支持。網(wǎng)絡(luò)應(yīng)用前端隨處可見的API逐漸變成了黑客攻擊的熱點(diǎn),一旦端口被攻破隨之而來的就是大范圍的用戶信息外泄。通常,企業(yè)IT團(tuán)隊(duì)會(huì)通過API調(diào)用和管理云資源、服務(wù)編排、應(yīng)用鏡像等服務(wù),而這些服務(wù)的可用性很大程度上會(huì)依賴于API的安全性,尤其是在客戶引入第三方服務(wù)的時(shí)候,讓API暴露在了外部環(huán)境中。

API所面臨的挑戰(zhàn)往往會(huì)體現(xiàn)在幾個(gè)方面:外部攻擊、信息篡改、惡意跟蹤。首先還是老生常談的DDoS攻擊,其對(duì)關(guān)鍵API的入侵能導(dǎo)致網(wǎng)絡(luò)大面積癱瘓,并且占用大量計(jì)算資源使得程序中斷。此外,如果通過API建立聯(lián)系的用戶端和服務(wù)器端沒有經(jīng)過特殊加密,很容易造成信息泄露。其次是請(qǐng)求參數(shù)的篡改,采用https協(xié)議傳輸?shù)拿魑募用芎笠灿锌赡鼙缓诳徒孬@,進(jìn)而將數(shù)據(jù)包偽造發(fā)起重放攻擊。這時(shí)候,安全證書往往也是難以幸免的,因?yàn)楹诳蜁?huì)讓需求發(fā)起方使用“仿制證書”通信,從而獲得看似已經(jīng)被加密的內(nèi)容。再有就是黑客會(huì)有意追蹤物聯(lián)網(wǎng)設(shè)備的端口,這樣可以直接獲得API的控制權(quán),或者向標(biāo)的引入惡意內(nèi)容設(shè)置漏洞陷阱。

物聯(lián)卡之家(aspschool.cn)了解,目前已有不少云服務(wù)商使用API認(rèn)證或API網(wǎng)關(guān)來監(jiān)控代碼庫中API的狀態(tài),有數(shù)據(jù)顯示,超過60%的企業(yè)正在使用網(wǎng)絡(luò)應(yīng)用防火墻或API網(wǎng)關(guān)構(gòu)建混合方案來保護(hù)數(shù)據(jù)。可以說,API在復(fù)雜環(huán)境中扮演的角色愈發(fā)重要,自然也就成為了黑客的關(guān)注重點(diǎn)。除了要在應(yīng)用端建立防護(hù)措施,更要在代碼上線前對(duì)API進(jìn)行測試,盡力消除可能存在漏洞,將風(fēng)險(xiǎn)降到更低。

標(biāo)簽:金融 山南 大理 河南 金昌 呂梁 福州 北海

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《物聯(lián)網(wǎng)安全漏洞:開放的API接口》,本文關(guān)鍵詞  物,聯(lián)網(wǎng),安全漏洞,開放,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《物聯(lián)網(wǎng)安全漏洞:開放的API接口》相關(guān)的同類信息!
  • 本頁收集關(guān)于物聯(lián)網(wǎng)安全漏洞:開放的API接口的相關(guān)信息資訊供網(wǎng)民參考!
  • 收縮
    • 微信客服
    • 微信二維碼
    • 電話咨詢

    • 400-1100-266