当前位置:主页 > DDOS防御 > 正文

香港高防ip_怎么解决_网站高防

04-07 DDOS防御

香港高防ip_怎么解决_网站高防

在过去的几个月里,公开的API出现了一些妥协。这些妥协包括一个"遗留"API泄露了BlackHat会议与会者的个人信息,以及两个似乎是独立的T-Mobile泄露——一个泄露了个人信息,另一个是AT&T和T-Mobile都泄露了客户的账户PINAPI,或应用程序编程接口,顾名思义,如何做好ddos的防御,是一个软件可以与另一个软件进行交互的一种方式。一个简单的例子是像TweetDeck这样的移动Twitter应用程序。TweetDeck使用Twitter API获取基本数据,执行基本操作,并提供各种功能,如列表和列。因此,当您使用TweetDeck查看时间线并在漂亮的自定义用户界面中发送推文和直接消息时,您使用的是Twitter API。应用程序安全产品经理TusharRichabadas在这篇梭鱼博客中谈到了API的安全性。点击推特BlackHat的泄密是怎么发生的BlackHat是世界上最大的网络安全活动之一,每年在拉斯维加斯举行。BlackHat今年的与会者之一是科罗拉多州的笔试师和安全研究人员,他是NinjaStyle的掌门人。NinjaStyle碰巧注意到他的徽章上有一个NFC标签,这是一种可以存储数据并将数据传输到另一个NFC设备的芯片。这些标签用于像BlackHat这样的会议上,linuxcc攻击防御,作为交换联系信息的一种方便而有效的方式因为会议徽章上的NFC标签可以使用标准标签阅读器应用程序读取,NinjaStyle能够解构BlackHat应用程序并找到它用来与应用程序服务器通信的API。有了标签上的信息(eventID和badgeID),ddos攻击包月如何防御,他能够通过未经验证的API检索到与标签相关的所有信息——姓名、电子邮件地址等,然后他试图对BlackHat与会者的所有信息进行暴力破解。经过一段时间的挖掘,他能够识别出一个特定范围的badgeID产生了每个与会者的信息,他设法在6个小时内提取了所有的信息。BlackHat后来证实了这一漏洞,他们的合作伙伴关闭了API,称之为"遗留"API为什么要限制你的API?TMobile和AppleOnlineStore为您提供了一个示例,说明您不使用时会发生什么情况。单击可发送TweetT-Mobile两次泄漏在下一组示例中,我们看两个T-Mobile泄漏,第一个是泄露敏感客户信息的泄漏API。T-Mobile表示,它的网络安全团队发现了漏洞,并在它走得太远之前阻止了它。据他们介绍,只有约3%的客户(约230万人)在此次泄密事件中受到影响,ddos防御设置参数,被泄露的信息包括姓名、账单邮政编码、电话号码、电子邮件地址、账号、账户类型和加密密码。第二次泄密是通过苹果的在线商店。7700万苹果手机在线商店和潜在的7700万用户的手机识别码被曝光。在线商店使用了一个API与T-Mobile系统进行接口。当购买新iPhone的客户选择通过T-Mobile按月支付时,就使用了这个API。该网站随后将客户带到一个身份验证表单,ddos防御程序科手机版,该表单要求客户提供其SSN的最后四位数字和他们的T-Mobile PIN。潜在的泄漏发生在此时–API没有对查询进行分级限制,并且允许无限次尝试。这意味着API可能会被强行破坏,信息被窃取。这里可能的罪魁祸首是API在几次失败的尝试之后没有强制执行速率限制。 在另一个不同但类似的漏洞中,通过Asurion购买保险的AT&T客户的PIN处于危险之中。任何知道AT&T客户号码的人都可以将其输入表单,然后使用不受限制的输入来强制输入该号码的PIN。如何保护APIAPI在今天非常流行。为了完成各种功能(从按支付计划购买手机到在线支付午餐)的系统数量巨大,而且它们都使用API。api需要高度的安全性,以确保它们不会成为黑客的新的快乐猎场。在这些案例中看到的漏洞是标准的web应用程序漏洞,这些漏洞已经知道很多年了,并且在编程实践(不可猜测/不可枚举的ID)和防御技术(速率限制、锁定)方面都有已知的防御措施。在所有这些情况下,只要遵循长期以来确立的良好做法,就可以阻止这些泄密行为破坏来之不易的客户信心,并对客户信息造成持久损害。只要遵循长期以来的良好做法,就可以防止这些代价高昂、备受关注的近期与API相关的数据泄露。点击推特安全部署和保护API的最简单方法之一是使用具有API保护功能的web应用程序防火墙。梭鱼WAF系列为web和API应用程序提供了全面的保护,无论它们位于何处。BWAF系列可以保护整个API攻击面。作为一个反向代理,它拦截所有流量并覆盖应用程序的所有部分,包括动态生成的url和以资源名称作为目录的url。此外,它还提供以下安全功能:提供面向API服务的安全TLS实施基于动词的安全约束和访问控制API会话安全性API认证和授权保护XML和JSON解析器防止流氓消费者滥用原料药(反农业)以JSON/XML格式从不受信任的用户输入中过滤恶意数据从URL路径中不受信任的用户输入中筛选恶意数据通过虚拟补丁提供不间断的API集中API审核和分析BWAF系列还确保了增强的API交付。它允许您的API通过在客户端和后端服务器之间提供连接多路复用来扩展,从而减少后端服务器的负载。它提供了缓存和压缩功能,以加快API交付并减少服务器的负载。最重要的是,它还有助于确保API的sla–它可以使用内置的速率控制和暴力攻击功能,为API的不同部分强制执行不同的服务级别。 有关梭鱼WAF和WAF-as-a-Service的更多信息,请访问我们的公司网站:。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/39347.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420104访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X