所有文章
> 当前分类:API安全
漏洞分析 | xxl-job前台api未授权Hessian2反序列化
2025/12/04
XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议,用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指,客户端请求XXL-JOB的前台API时,没有提供正确的认证信息,导致服务端无法正...
API Gateway vs Load Balancer:选择适合你的网络流量管理组件
【API安全】
由于互联网技术的发展,网络数据的请求数节节攀升,这使得服务器承受的压力越来越大。在早期的系统架构中,通常使用 Load Balancer 来将网络流量平摊到多个服务器中,以此减轻单台服务器的压力。但是现如今,后端服务的种类在不断地变多,每个...
2025/12/03
OpenAI API隐私政策详解 – Bright Inventions
【API安全】
OpenAI API 提供卓越的隐私控制,包括零数据保留(ZDR)功能,确保业务数据不被用于模型训练,并支持 GDPR、SOC 2 和 HIPAA 合规性,适用于开发者和企业用户构建安全应用。
2025/11/29
Kong Insomnia 11:提升API安全性与协作效率
【API安全】
Kong Insomnia 11 引入了第三方保险库集成(如 HashiCorp 保险库)以提升 API 安全性,项目级 Git 同步功能增强团队协作效率,以及多标签支持优化多任务处理。这些更新帮助开发者安全管理机密、简化版本控制,并提高开发工作流程效率。
2025/11/29
Kong Inc.:实现可扩展API与服务保护的5大策略
【API安全】
本文探讨了在万物互联时代,如何通过API网关、APIOps、零信任模型、可观察性和深度防御策略实现可扩展API与服务保护,以应对网络攻击和确保大规模连接安全。
2025/11/29
API身份验证与授权的区别 | 安全性差异解析
【API安全】
本文详细解析API身份验证与授权的区别,涵盖身份验证流程如API密钥、令牌和用户名/密码,以及授权机制基于角色和权限的访问控制。通过长尾关键词'API身份验证与授权的安全性差异'和'API安全机制实施策略',帮助读者理解如何结合两者保护敏感数据,防止未经授权访问。
2025/11/28
API端点:构建、安全加固与优化以提升性能
【API安全】
API端点是访问API资源和功能的特定URL,本文详细探讨了API端点的构建方法、安全加固策略和性能优化技巧,包括RESTful端点设计、身份验证与授权机制以及速率限制等安全措施,帮助开发者构建高效、安全且可扩展的API系统。
2025/11/28
如何使用 OPA(Open Policy Agent)管理您的 API 策略
【API安全】
本文介绍如何使用OPA(Open Policy Agent)结合Kong Gateway管理API策略,解决微服务环境中访问控制复杂性问题。通过OPA的统一策略框架和Rego语言,实现细粒度授权、合规性管理和策略一致性,提升API安全性和灵活性。
2025/11/27
如何通过中间人攻击窃取API密钥 – Approov
【API安全】
本文详细演示了如何通过中间人攻击(MitM)在Android模拟器中拦截HTTPS流量并窃取API密钥,使用mitmproxy工具进行设置和操作,同时探讨了缓解措施如证书固定和动态密钥管理,以提升API安全防护能力。
2025/11/27
通过API密钥认证增强您的AWS数据安全性…
【API安全】
API密钥验证在AWS API网关REST APIs中通过限制访问权限、灵活管理密钥和提供使用跟踪与监控能力,有效增强数据安全性,防止未经授权的访问和快速应对安全事件。
2025/11/26
SolarWinds Orion API 和 Windows DNS 是最… – Vulcan Cyber
【API安全】
SolarWinds供应链攻击事件中,国家级威胁行为者通过植入恶意DLL文件到Orion平台软件,导致全球18,000客户受影响,攻击过程包括后门植入、休眠机制和隐蔽性伪装,SolarWinds已发布修补程序HF 2和SUPERNOVA补丁进行修复,强调企业需加强供应链安全管理以提升网络防御能力。
2025/11/25
我们能从Coursera的API故事中学到什么?- balasys.eu
【API安全】
本文通过Coursera的API安全案例,分析了数字教育平台在疫情期间面临的网络安全挑战,包括GraphQL和REST API漏洞,如密码重置枚举和资源限制缺失。文章强调个人数据保护的重要性,并建议企业实施漏洞赏金计划以提升API安全性,确保用户隐私。
2025/11/24
如何通过静态二进制分析从移动应用中提取API密钥
【API安全】
本文探讨如何通过静态二进制分析从移动应用中提取API密钥,使用开源工具如MobSF进行逆向工程,涵盖常见存储方式如源代码、Android清单文件和JNI接口,并提供具体步骤以帮助开发者识别安全风险。
2025/11/24
安全研究员发现Waze API漏洞,允许他…
【API安全】
安全研究员Peter Gasper发现Waze API漏洞,允许攻击者通过API接口精确跟踪用户移动轨迹并提取ID和用户名等敏感数据,利用Chromium扩展捕获JSON响应数据,仅需四个时空点即可唯一识别95%个人,谷歌已修复漏洞并奖励研究员。
2025/11/24
API与数据安全:是否是切换到Kong Insomnia的合适时机?
【API安全】
本文探讨Kong Insomnia如何通过集合治理和RBAC防止数据泄漏,支持本地、Git或云端存储选项,并提供端到端加密,以提升API和数据安全。文章强调其在敏感数据环境中的应用,帮助企业应对数据泄露风险和合规需求,是切换到Kong Insomnia的合适时机。
2025/11/24
OWASP API Top 10 – 最常见攻击及其防范方法
【API安全】
本文深入分析2023年OWASP API十大漏洞中的前五个,包括对象级授权中断、身份验证失败、对象属性级授权中断、无限制的资源消耗和功能级授权中断,详细阐述其安全风险和防护措施,如强制授权检查、多因素身份验证和速率限制,帮助开发者构建安全的API环境。
2025/11/23
热门话题
