所有文章
> 当前分类:API安全
确保服务器到服务器通信(API 到 API)安全的最佳方法
2024/12/02
服务器到服务器通信是许多互联网系统的支柱,但安全性的进步带来了安全规避的进步。这些确保服务器到服务器通信安全的新挑战要求软件公司和开发人员熟悉最新和最好的工具,以确保其 API 安全。
WebHDFS Rest API 企业实战:大佬手把手带你堵住漏洞,企业实例解析
【API安全】
Apache Hadoop提供了本地库,用于访问HDFS。这些本地库对于在Hadoop集群内运行的应用程序非常有用,只需要配置hadoop客户端的环境就可以使用这些库来直接访问HDFS。 然而,对于外部应用程序来说,如...
2024/12/02
GraphQL API渗透测试指南
【API安全】
GraphQL简介 GraphQL 是一种面向数据的 API 查询风格。传统的 API 拿到的是前后端约定好的数据格式,GraphQL 对 API 中的数据提供了一套易于理解的完整描述,客户端能够准确地获得它需要的数据,没有任何冗余,...
2024/11/29
10个人工智能驱动的API安全工具
【API安全】
人工智能正在迅速证明其强大的潜力。得当地应用时,人工智能和机器学习能够提供前所未有的自动化和可扩展性,这一目标多年来一直是理想,如今正逐步变为现实,特别是在安全工具领域。本文将介绍当前市场上十种人工智能驱动的 API 安全工具。
2024/11/29
保护JavaScript客户端到API服务的通信
【API安全】
在客户端,进程由一种名为 JavaScript 的计算机编程语言来促进。保护 JavaScript 是阻止不良行为者拦截敏感信息和促进积极的用户体验不可或缺的部分。确保您的网络与客户端用户网络之间的安全通信应该是您的网络安全优先事项之一。在本指南中,我们将探讨为什么保护 JavaScript 客户端到服务器通信如此重要以及如何做到这一点。
2024/11/29
在Node.js中为Restful API编写单元测试
【API安全】
单元测试是针对程序模块来进行正确性检验的测试工作,程序单元是应用的最小可测试部件。 在 Web 应用中,我们可以把 Restful API 看作是构成应用的单元。 Restful API 比较好测试,测试起来也比较简单。 本文...
2024/11/28
用ASP.NET Core 给你的API接口打造一个自定义认证授体系
【API安全】
如果公司交给你一个任务让你写一个api接口,那么我们应该如何设计这个api接口来保证这个接口是对外看起来"高大上","羡慕崇拜",并且使用起来和普通api接口无感,并且可以完美接入aspnetcore的认证授权体系呢,而不是自定义签名来进行...
2024/11/27
在不破坏更改的情况下保护公共API
【API安全】
API 已成为现代数字基础设施的支柱。它们使企业能够与客户实时互动、自动化工作流程和扩展运营。然而,它们的巨大好处也伴随着重大风险——尤其是在没有安全的情况下。正如最近对其 API 漏洞的深入研究所揭示的那样,Dotpe 的案例为提供公共 API 的公司提供了一个警示故事。
2024/11/26
Excel中,创建一个公式来调用ChatGPT API并返回结果
【API安全】
在Office 365的Excel中,虽然有了Copilot,目前我们还无法使用。不过可以用自定义Formula来调用ChatGPT来实现。本文是演示使用VBA创建一个自定义函数 AI()调用OpenAI API,并返回API的响应。 ...
2024/11/22
应用程序接口(API)安全的入门指南
【API安全】
本文简单回顾了 API 的发展历史,其基本概念、功能、相关协议、以及使用场景,重点讨论了与之相关的不同安全要素、威胁、认证方法、以及十二项优秀实践。 根据有记录的历史,随着 Salesforce 的销售自动化解决方案的推出,首个 ...
2024/11/22
常见的API接口漏洞总结
【API安全】
了解接口常见漏洞,将帮助你在测试接口获取更多的思路。 信息披露 信息可能会在 API 响应或公共来源(如代码存储库、搜索结果、新闻、社交媒体、目标网站和公共 API 目录)中披露。 敏感数据可以包含攻击者可以利用的任何信息...
2024/11/22
如何设计一个对外的安全接口?
【API安全】
导读:面试官如果问您怎么保证API的安全,本文值得借鉴。 如何保证外网开放接口的安全性? 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名...
2024/11/20
OAuth和OpenID Connect图解指南
【API安全】
OAuth 2.0 是一种安全标准,您可以授予一个应用程序访问另一个应用程序中的数据的权限。我们有一个商定的标准,可以安全地允许一个服务访问另一个服务的数据。不幸的是,这些标准使用了大量的行话和术语,这使得它们更难理解。本文的目的是使用简化的插图来解释这些标准是如何工作的。
2024/11/19
假冒WordPrssAPI窃取Cookie并劫持会话
【API安全】
这篇文章讨论了Cookies在网站中的用途,以及它们如何被用于跟踪用户行为和保持登录状态。同时,文章指出了Cookie窃取和会话劫持的风险,即攻击者通过窃取活动Cookies来冒充用户执行操作。文章还描述了一个具体的事件响应调查案例,其中黑客通过注入混淆的恶意代码到WordPress网站的合法JavaScript文件中来窃取Cookies。这些代码会检查用户代理,排除搜索引擎爬虫,然后收集活动Cookie数据并发送到一个假冒的WordPress API域名。文章最后强调了网站管理员在审计代码时需要警惕拼写错误和域名的合法性,以及使用核心文件完整性检查或网站监控服务来检测潜在的安全问题。
2024/11/19
针对API漏洞挖掘技巧学习
【API安全】
前言 首先我们需要了解API基本的一些知识,我们首先来看几个GET方式的API GET /api/books HTTP/1.1Host: example.com 首先上面这种,是api的端点,也就是请求点,通过交互获得图书...
2024/11/19
OAuth 2.0和OpenID Connect概述
【API安全】
OAuth 2.0 和 OpenID Connect (OIDC) 是用于用户身份验证和授权的行业标准协议。Okta 身份解决方案基于这些标准。
2024/11/18
搜索文章
热门话题
