根据API安全服务提供商Salt Security的最新报告,近66%的企业缺乏基本 API 安全策略。这种安全能力差距尤其令人担忧,因为随着GraphQL等相对较新技术的采用,针对 API 的网络攻击正在增加。据了解,从 2020 年到 2021 年,GraphQL的采用率翻了一番,并且还在继续加速。但是,围绕 GraphQL 的安全意识仍然相对较低,GraphQL API可能会产生难以评估的安全风险。
Salt Security研究部门还在大型企业金融技术平台中发现了一个新的GraphQL API 授权漏洞,该漏洞可能出现在嵌套 API 查询中。据了解,该平台以基于 API 的移动应用程序和 SaaS 形式向中小型企业和商业品牌提供金融服务,其技术堆栈使用 GraphQL 来支持使用移动应用程序的客户活动,同时,它还利用第三方 API 来检索先前客户交易的记录。这个发现的漏洞使潜在攻击者能够操纵 API 调用,以窃取数据并发起未经授权的交易。
此外,研究人员发现一些 API 调用能够访问不需要身份验证的 API 端点,从而使攻击者能够输入任何交易标识符并获取以前的金融交易数据记录。如今,因为使用 GraphQL 的开发人员数量正在增加,同时,由于GraphQL API 独特的灵活性和结构而难以保护,使得GraphQL 的漏洞问题日益凸显,企业需要采取相关措施以应对这一问题。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
