Web API 安全漏洞与检测防护.PDFVIP

Web API 安全漏洞与检测防护 徐诣博 2017.8.25 1 、Web API 安全威胁 目录 2、Web API 安全漏洞 Contents Page 3、WAF Web API 漏洞防护 4、Web API 安全开发建议 第 1章 目录 Web API 安全威胁 Contents Page 什么是Web API • 使用HTTP 协议通过网络调用的API • Web API 是一个Web 系统，可以通过访问URI 与服务器完成信息交互，或者获取存放在服务 器上的数据信息等，调用者通过程序访问并机 械地使用这些数据。 • Web API 和Web Services • JSON 谁在用Web API API 安全威胁 • 非法信息窃取 • 浏览器访问Web API 的意外 • Web API 业务漏洞 • Web API 访问速率限制不当 • HTTP 头部设置不当 非法信息窃取 • HTTP 嗅探/HTTPS 嗅探，会话劫持 – HTTPS TLS 1.2 – SSLStrip 攻击 – HSTS • SSL 漏洞 – 2014 OpenSSL Heartbleed 安全漏洞 – CCS 注入漏洞 • 客户端证书验证漏洞 – 证书有效性验证 • HTTPS性能 – 是否允许一些Web API 采用HTTP 浏览器访问Web API 的意外 • XSS – 输入/输出过滤 – 严格的Content-Type 限制 • CSRF – CSRF Token • XXE – XML 解析 • JSON劫持 – X-Requeated-With – 浏览器JSON 数据识别 – 禁止Javascript 执行JSON 数据 Web API 业务漏洞 • 参数篡改 – 连续编号ID /订单 – 1 元支付 • 重放攻击 – 伪装支付 • 权限控制 – 越权操作 Web API 访问速率限制不当 • API 大规模访问/ DoS 攻击 – API 访问速率控制 • 限制单用户访问次数 – 识别用户/ 限速单位/何时重置 • 429 状态码 – HTTP/1.1 429 Too Many Requests – Retry-After: 3600 • HTTP 头部传递限速信息 – X-RateLimit-Limit 单位时间访问上限 – X-RateLimit-Remaining 剩余访问次数 – X-RateLimit-Rest 访问次数重置时间 HTTP 头部设置不当 • X-Content-Type-Options: nosniff – = IE8 nosniff • X-XSS-Protection – = IE8 X-XSS-Protection: 1; mode=block – Chrome/Firefox 中无效 • X-Frame-Options – Deny frame,iframe,object