【iThome專訪】雲力橘子鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務
多年前伴隨 Web Services 蓬勃興起,由 XML、SOAP、WSDL 和 UDDI 四大核心元件形成堅強技術後盾,造就電子商務熱潮。多年後的今天,隨著 JSON、RESTful 蔚為新寵,加上由 Swagger 規範 API 文件框架,讓大家的 API 皆能與世界接軌,使得 API 像是過去 Web 般如火如荼延燒,儼然成為數位創新的催化劑,影響範圍遍及各行各業。
但 API 猶如雙面刃,安全的 API 可稱職扮演創新樞紐,反觀不安全的 API,恐淪為駭客喜愛的攻擊目標,成了竊取個資或機敏資訊的新天地。為此 OWASP 於今年(2019)首度公佈「API Security Top 10」,揭露十個常見的 API 安全風險,讓所有企業或組織知所防範。
包含「無效認證與授權」在內,國內常面臨三大 API 風險
雲力橘子資深網路安全顧問陳臣瑩表示,其實在 OWASP Web Top 10 2017 初版,即列出兩個 API 相關風險,分別是名列第七的「API 攻擊防護不足」、第十的「API 未受防護」,意謂 OWASP 早已察覺 API 安全議題日趨嚴重,故於今年正式推發佈 API Security Top 10。
根據此次入選名單,陳臣瑩歸納臺灣最常觸犯的 API 風險有三大項,按照發生頻率來排序,依序是「A2:無效認證與授權」(Broken Authentication)、「A1:無效的對象層級授權」(Broken Object Level Authorization),及「A4:缺乏與存取速率的不足」(Lack of Resource and Rate Limiting)。
其中 A2 部份類似弱密碼、預設密碼概念,意指企業未做好身份認證管理,導致駭客有機會暫時或永久取得使用者 ID,在未經授權下進入後端服務,可能擅自修改設備參數、從事不當操作,甚至建立 Botnet 中繼站。
A1 意指駭客利用後臺權限控管的漏洞(初次通過身份驗證後,不需經過再次驗證即可調用其他資料),擅自修改為 001、002、003…等等用戶編號,佯裝為不同身份,恣意存取各個使用者的機敏資料。
至於 A4 代表 API 對客戶端請求的資源大小、數量未施加任何限制,可能導致 API 發佈過多封包、變相釀成 DDoS 攻擊,造成服務停擺。
雲力橘子資訊技術處處長何奕甫補充說,以常見的 A2、A1 等風險而論,淺顯易懂的說法分別是「可以輕易登入系統」、「可以輕易轉換權限」,假使兩項管控機制皆未實作完善,讓駭客可堂而皇之使用後端API 服務,將形成重大危害。前面提及擅改用戶編號、冒用他人身份,達到「水平提權」,有些厲害的駭客甚至可以做到「垂直提權」取得管理者身分,如假設某參數「0」代表一般使用者、「1」代表管理者,即可透過修改API參數之攻擊手法,從 0 躍升為 1,取得更高階權限,進而產生極大的資安危害風險,甚至造成破壞性;不管在金融、電商等應用場景,都曾出現過類似真實案例。
他提醒企業,透過弱點掃瞄、滲透測試、原碼檢測,甚至資安流程監控等服務,可找出潛在漏洞與風險,例如當使用者通過前端帳密驗證後,便如入無人之境直接呼叫 API功能、存取資料,一旦掌握此情況,便能立即於後端加入認證暨授權管理機制,適時化解危機。
資深顧問協助,從紛雜告警釐清事件真相
陳臣瑩認為,總的來說,要化解前述 API 安全隱憂,須做好三件事。首先從開發者角度,API 設計過程應遵循 OpenAPI 3.0、NIST SP 800-95 等國際標準,確保能寫出較安全的程式碼;假使遇到國際標準未定義到的部份,再搭配客製化開發。
假設是遵照國際標準產出的程式碼,建議連同 API 和前端程式架構(Web),一併接受原碼檢測,驗證究竟是否真的符合標準;至於客製化 API,建議委由有經驗的檢測人員或顧問扮演「駭客」或「破壞者」,發動滲透測試,檢視程式碼結構是否存在缺失。
第二件事,針對系統與網路架構方面,應部署諸如 WAF、IPS 等設備,以建立系統層級的防禦能力,於必要時抵擋惡意攻擊。第三件事,即是針對 Web 服務、API 服務建立監控機制,只要察覺異狀隨即發送警訊,或一併通知 SOC 或 SIEM 集中處理。
陳臣瑩重申,藉由開發、測試、監控等三段安全流程環環緊扣,便能輕易補強 AI、A2 或 A4 等常見漏洞。他進一步提醒,企業切記做好 API 日誌監控,繼而將日誌送交 SOC 或 SIEM 進行多面向整合性分析,如此即使面對因商業邏輯緣故所導致的漏洞、難借助一般方式檢測出來,依然可抓揪出異常跡象。
綜觀雲力橘子提供的 API 安全解決方案,何奕甫指出,首先可使用原碼檢測服務,針對企業開發完成的 API,即可借助該服務來檢視箇中漏洞;再者,如果企業的 API 服務已上線運行,可藉由雲力橘子提供的弱點掃描與滲透測試等服務項目,探查有無可供駭客利用的弱點。
除上述基本檢測服務外,雲力橘子還提供進階服務。其中包括 appGuard,它可為 App「加殼」,增加 App 遭破解的難度;另有 Smart Sensing,可隨時偵測App行為,是否正在遭受不正常的使用等。此外雲力橘子透過與 WAF 專業廠商合作,可協助用戶有效監測 Web 和 Web API 的安全性。
更重要的,畢竟產品或工具的主要功能在於產生告警,仍需借重資深顧問加以調校和簡化,才能快速準確地釐清核心問題,而雲力橘子顧問群擁有優於業界的專業度,多數都能勝任紅隊演練高階任務,而非只停留在一般常見的資安檢測、滲透測試層次。
總而言之,雲力橘子已針對日益險惡的 API 風險,備妥完整的檢測服務、監控方案,輔以資深顧問從旁收㪘與還原問題真相,足以為企業建立強大的 API 保護傘,確保數位創新過程不受侵擾。
iThome 專訪連結: https://www.ithome.com.tw/pr/135027
其他動態


2025 Google Cloud Summit Taipei 重磅來襲!
2020/01/02
2025 雲端資安趨勢論壇 AI 重新定義雲端資安:從實際案例看主動防禦新戰略
2020/01/02
DC 世界的算力贏家_數位分身 x 3D 視覺化技術
2020/01/02
雲端時代資安策略革新,CYBERSEC 2025臺灣資安大會正式揭幕
2020/01/02
雲力橘子強勢登場 iThome Cyber Talent!
2020/01/02
雲力橘子攜手 OpenText 傳授實務心法,翻轉企業 DevSecOps 戰力
2020/01/02
【資安人高階圓桌會議】高效智能:AI 引領雲端資安新世代
2020/01/02
ESG 3D數位分身 智慧戰情監控平台將於2025智慧城市展展出
2020/01/02
DevSecOps 革新:開創全面威脅檢測與快速響應的新時代
2020/01/02
雲力橘子將於 2025 台北國際電玩展 B2B 商務區展出
2020/01/02
避免雲端主機淪為跳板收到公有雲鉅額帳單
2020/01/02
雲力橘子再獲 2024 OpenText Outstanding Cybersecurity Growth Award 殊榮
2020/01/02
整合優勢資源,共同採購更高效
2020/01/02
【2025 AI 人工智慧資安論壇 會後報導】
2020/01/02
資安人講堂:2025必須關注的資安10大趨勢
2020/01/02
雲原生時代,華為雲 FinOps 解決方案協助提高企業價值
2020/01/02
跟著逐步說明,建立雲端策略的行動計畫
2020/01/02
華為雲 ServiceStage 整合 Sermant 實現應用程式的優雅上下線
2020/01/02
進軍中國遊戲市場的雲端解決方案
2020/01/02
AI 人工智慧資安論壇
2020/01/02
2025 必須關注的資安10大趨勢
2020/01/02
雲力橘子攜手 OpenText 力推軟體開發安全
2020/01/02
雲端安全——執行長必須關注的五大重點
2020/01/02
別讓企業App成為品牌不定時炸彈!App安全風險大解析
2020/01/02
雲力橘子藉由第三方 CNAPP,加速實現跨雲與混合式資安管理
2020/01/02
雲端技術如何驅動金融科技創新?阿里雲的五大關鍵方案
2020/01/02
加速數位轉型:借助 GCP Gemini 和 Colab Enterprise 打造高效開發團隊
2020/01/02
優化用量、削減費用:掌握雲端流量管理的關鍵技巧
2020/01/02
利用 Database Migration Service 無縫升級 Cloud SQL MySQL 和 PostgreSQL 資料庫
2020/01/02
企業上雲,雲力橘子為企業打造雲端資安防護,實現雙贏安全與效能
2020/01/02
騰訊雲媒體傳輸如何實現毫秒級跨洲延遲,助力大型賽事直播
2020/01/02
【Okta | Akamai | 雲力橘子 | 奧登 _ 企業資安升級 從零信任架構到API防護 】活動報名
2020/01/02
雲力橘子積極拓展經銷通路,共創 SPKITA 社交工程演練生態系
2020/01/02
【DevSecOps實戰:從地端到雲端,全面提升軟體開發安全性】 說明會報名
2020/01/02
雲力橘子分享實用方案,助力打造通暢無礙的軟體安全開發流程
2020/01/02
iThome Cloud Summit - 實現快速安全現代化 - 跨雲和混合式安全管理
2020/01/02
2024 年度雲端盛會 Google Cloud Summit 即將登場!
2020/01/02
Hacker Talk 論壇報名 - 點破常見的資安迷思,再帶您一次導覽亞洲新型詐騙趨勢!
2020/01/02
CYBERSEC 2024 臺灣資安大會 - 雲力橘子攤位編C233 ,填問券送好禮!
2020/01/02
HyperG持續深化appGuard防禦力,捍衛企業機構App安全
2020/01/02
【軟體安全開發 X 資安佈署】說明會報名
2020/01/02
無人機資安風險與企業資安人力部署的困境
2020/01/02
ESG 3D數位分身 智慧戰情監控平台將於 2024 智慧城市展展出
2020/01/02
AI 2.0智勝新局 - 2024 IBM Solutions Day
2020/01/02
如何確保做好企業資訊安全?這4大DDOS防護方法,推薦學起來!
2020/01/02
雲力橘子將於 2024 台北國際電玩展B2B商務區展出
2020/01/02
全面導入AWS以培訓提升員工技能,並使遊戲上市時間加速 70%
2020/01/02
雲力橘子力推 DevOps 開發流程安全思維
2020/01/02
雲力橘子舉辦原碼檢測工作坊,引領企業實踐安全軟體開發之路
2020/01/02
2023年最後一場駭客論壇,精彩議程搶先看!!
2020/01/02
ISO 27001:2022 轉版重點及技術措施解析
2020/01/02
雲力橘子攜手Check Point,提出業界最完整的雲端資安攻略
2020/01/02
【Source Code Analysis Workshop】活動報名
2020/01/02
【強化DevOps開發流程安全】 說明會報名
2020/01/02
阿里雲 x 雲力橘子 每月199雲端乖乖包,保護您的業務順暢運營
2020/01/02
DevOpsDays Taipei 2023_DevOps系統委外開發案實務案例分享
2020/01/02
【ISO 27001改版 - 企業資安轉版重點解析】 說明會報名
2020/01/02
惡意後門與自駕車載資安層出不窮,我們邀請資深資安講師分享個人獨到見解
2020/01/02
雲力橘子匯聚SOC與CNAPP能量,有效打造跨雲安全管理服務
2020/01/02
【Alibaba Cloud x Gamania CloudForce】未來產業趨勢論壇 迎接下一波網路革命
2020/01/02
2023 年 臺灣雲端大會-企業轉型上雲安全實作分享
2020/01/02
核智安全從開發端切入,完整保護 App 安全,以 appGuard 融入 DevOps 開發維運流程,展現一條龍服務及在地專業團隊優勢
2020/01/02
直播點播加密:安心享受視頻內容,防範未經授權的觀眾亂入我的平臺
2020/01/02
新一代安全直播解決方案:快直播抵擋駭客盜用鏈結
2020/01/02
AI FOR ALL,四大趨勢觀點引領你探索最新趨勢變化
2020/01/02
AWS AppStream 2.0 快速上手
2020/01/02
善用抵稅制度強化企業資安防禦力
2020/01/02
雲力橘子攜手 OpenText 完美演繹如何破解程式漏洞危機
2020/01/02
調查局與企業資安顧問微妙融合,即將掀起驚滔"駭"浪的資安秘辛,您還不來報名嗎?
2020/01/02
CYBERSEC 2023 臺灣資安大會 - 企業安全開發流程升級之路
2020/01/02
【資安投資抵稅 快速通關說明會】 報名
2020/01/02
【落實資安防護,杜絕漏洞風險】 活動報名
2020/01/02
3D數位分身,智慧城市整合監控平台將於2023智慧城市展展出
2020/01/02
2023年首發論壇,快來手刀報名,來聽專業的怎麼說!
2020/01/02
安全防護:Anti-DDoS 設定教學
2020/01/02
十倍速遊戲開發效率SGC研習會
2020/01/02
雲力橘子將於2023台北國際電玩展B2B商務區展出
2020/01/02
一文概覽阿里雲 DDoS 防護六項優勢、四種方案抵禦 DDoS 攻擊手段!
2020/01/02
以資安治理角度理解 OWASP Top 10 2021
2020/01/02
製造業如何運用雲端技術進行創新轉型
2020/01/02
電腦軟體共同供應契約採購【資通安全服務暨資訊服務】-雲力橘子
2020/01/02
以資安治理角度理解OWASP Top 10 2021
2020/01/02
公司企業活用CNAPP自動化工具,公有雲安全保護您的資安!
2020/01/02
HACKER TALK - 企業資安要做到多安全才是足夠? IoT浪潮下如何面對排山倒海的漏洞? 精彩議程您不能錯過!!
2020/01/02
雲力橘子基於深厚實務歷練,揭露雲端資安進階防護心法
2020/01/02
從資安治理角度理解 OWASP Top 10 2021 - iThome臺灣資安大會邀請你一同參與
2020/01/02
【強化應變 建立韌性 發展永續金融】金融資安發展論壇 - 加密軟體及金鑰管理應用
2020/01/02
企業放心的資訊安全管理系統,結合Security Scorecard與Tenable!
2020/01/02
【改變一應萬變】政府資安發展論壇 - 數據整合戰情中心可視化的重要性
2020/01/02
服務上雲不需要擔心資安問題,兩全其美解決方案到底關鍵是甚麼!? 快報名iThome 台灣雲端大會,千萬不能錯過!
2020/01/02
【智慧戰情室】企業3D資料視覺化,WeMB方案完美整合數據
2020/01/02
蓋亞資訊攜手雲力橘子打造手機App資安全面防護網
2020/01/02
伊雲谷、雲力橘子共推雲端資安解決方案appGuard
2020/01/02
科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館
2020/01/02
HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?
2020/01/02
2022 資安365年會-OWASP Top 10 2021企業指南
2020/01/02
未來的CDN服務主流:複合式CDN平台的管理與效用
2020/01/02
駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明
2020/01/02
什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?
2020/01/02
雲力橘子推出資安評級服務,協助企業檢測網路駭客病毒的威脅!
2020/01/02
複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!
2020/01/02
地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!
2020/01/02
雲力橘子兩大資安方案助企業保護App安全
2020/01/02
地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程
2020/01/02
2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動
2020/01/02
雲力橘子 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊
2020/01/02
雲力橘子榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮
2020/01/02
遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?
2020/01/02
駭客資安論壇 - 2020/12/5(六) 聖誕駭樂
2020/01/02
防駭之心不可無 – 建立防護化解危險,勢在必行
2020/01/02
鞏固防禦堡壘,拒絕再當受駭者
2020/01/02
雲力橘子聲明
2020/01/02
雲力橘子「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道
2020/01/02
~~線上~~駭客資安論壇將於6/11準時上線
2020/01/02
物聯網隱藏資安風險 雲力橘子推AI SOC服務
2020/01/02
HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器
2020/01/02
在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!
2020/01/02
HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全
2020/01/02
雲力橘子與 Reblaze 聯手出擊,強力守護企業網站與 App 安全
2020/01/02
2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用
2020/01/02
2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動
2020/01/02
雲力橘子「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題
2020/01/02
【iThome專訪】雲力橘子鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務
2020/01/02
AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全
2020/01/02
雲力橘子結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩
2020/01/02
【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅雲力橘子:滴水不漏的資安保護過時了
2020/01/02
12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】
2020/01/02
雲力橘子通過108年經濟部工業局資安服務能量登錄
2020/01/02
雲力橘子資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力
2020/01/02
VMware攜手AWS 助企業加快數位轉型 - 雲力橘子為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務
2020/01/02
5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享
2020/01/02
2019年雲力橘子【共同供應契約採購項目總覽】更新
2020/01/02
【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞
2020/01/02
雲力橘子與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用
2020/01/02
在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!
2020/01/02
TAF國家級認證的實驗室-電檢中心認證appGuard四大功能
2020/01/02
2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場
2020/01/02
從防堵手遊外掛起家,雲力橘子攻進金融App資安市場
2020/01/02
iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界
2020/01/02
9/20 國際資安威脅與戰略攻防要素- 資安社群論壇
2020/01/02
用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中
2020/01/02
【案號:1070201】appGuard加入共同供應契約採購囉!
2020/01/02
雲力橘子力推appGuard,助保險業牢牢守護App安全
2020/01/02
Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!
2020/01/02
雲力橘子與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務
2020/01/02
雲力橘子 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊
2020/01/02
2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!
2020/01/02
【橘妹愛玩 TECH專訪】App 上線前的最強把關者:雲力橘子貓網讓開發者在雲端完成一切 App 相容性測試!
2020/01/02
賀!106年資安服務廠商評鑑 - 雲力橘子SOC監控服務獲得特優
2020/01/02
iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】
2020/01/02
Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!
2020/01/02
企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!
2020/01/02
資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界
2020/01/02
2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!
2020/01/02
雲力橘子資安社群論壇 - 報名開始 將邀請專業講師,探討時下關注的資安議題
2020/01/02
【專訪】善用雲力橘子appGuard 搶進商機無限行動支付市場
2020/01/02
雲力橘子:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!
2020/01/02
你在明,駭客在暗,防駭時代先行自保,刻不容緩!
2020/01/02
【專訪】資安人-appGuard保護App安全 雲力橘子協助業者搶攻行動商機
2020/01/02
「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明
2020/01/02
【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布
2020/01/02
【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務<br><br>
2020/01/02
【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~
2020/01/02
【專訪】保護App安全 雲力橘子推出appGuard
2020/01/02
【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇
2020/01/02
【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營
2020/01/02