API数据安全研究报告

看了一下中国信通院出的,API数据安全研究报告,有几个点还是可以说下的。

API安全风险分析

一. 外部威胁因素

  • API漏洞导致数据被非法获取
  • API成为外部网络攻击的重要目标
  • 网络爬虫通过API爬取大量数据
  • 合作第三方非常留存接口数据
  • API请求参数易被非常篡改

二.内部脆弱性因素

  • 身份认证机制
  • 访问授权机制
  • 数据脱敏策略
  • 返回数据筛选机制
  • 异常行为监测
  • 特权账号管理
  • 第三方管理

API安全系列——漏洞分析之Facebook OAuth框架漏洞

这个漏洞的公开链接为:https://www.amolbaikar.com/facebook-oauth-framework-vulnerability/

发布时间为2020年3月1日

OAuth基本的认证流程如下图:

OAuth 的流程是, 用户请求facebook资源给B,然后B发起许可,用户同意许可并请求facebook,facebook给了一个token给用户转交给了B,B再去利用这个token去facebook请求资源。 其实最重要的就是那个token。

参考链接:

  1. https://www.freebuf.com/vuls/234519.html
  2. https://wooyun.js.org/drops/OAuth%202.0%E5%AE%89%E5%85%A8%E6%A1%88%E4%BE%8B%E5%9B%9E%E9%A1%BE.html