API NEWS | 深入了解 Tinder API 网关

技术博客

2022-11-04阅读：454

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

深入了解 Tinder API 网关
如何保护 API 密钥和运行时机密
开放银行 API 安全最佳实践
SBOM如何帮助 API 攻击

深入了解 Tinder API 网关

API 网关是 API 安全的支柱，尤其是在实施传输安全和速率限制方面。我对Tinder采取的不寻常的方法很有兴趣，他们采取了不同寻常的步骤来构建自己的API网关解决方案：Tinder API Gateway（TAG）。他们做出该决定的主要是因为无法跨应用程序团队扩展其当前环境，包括 500 多个微服务和多个不同的 API 网关。这导致了复杂性、维护挑战以及网关策略的不一致实施。

TAG 背后的核心设计概念是配置驱动开发，开发团队可以用特定于 TAG 的表示法定义其路由要求，并在部署时由 TAG 自动配置。

还有其他几个重要的注意事项，其中许多与 API 安全性有关，例如：

• 请求和响应扫描

• 用于自动生成 API 文档的架构注册表

• 检测漏洞，如机器人攻击和实时流量检测

• API 标准化和审核流程

• 一致和统一的会话管理

这篇文章非常具体地提到了 Tinder 面临的安全挑战：他们在 190 多个国家/地区拥有用户，并处理大量 API 流量，其中一些是真实的，但也来自不良行为者。使用中央 API 网关允许他们在第一个入口点阻止恶意流量，而不是将内部服务暴露给该类流量。

基本 TAG 架构如下所示：

学习如何处理入站请求，对了解 TAG 的一些独特功能是有帮助的：

• TAG 执行反向地理位置 IP 查找（RGIL）以确定国家/地区代码，然后执行速率限制或请求禁止。

• TAG 扫描请求和响应以检查语义，然后在内部将数据流式传输到其他服务，例如机器人检测。

• TAG 通过全局过滤器管理会话。

• TAG 对请求进行预过滤，以便在内部服务处理请求之前从请求中删除任何不需要或意外的数据。

• TAG 使用预定义的筛选器对响应进行后筛选，以删除任何无关或意外的数据，例如筛选错误日志。

所有这些都可能允许攻击者收集有关其他用户的信息，被恶意使用。

如何保护 API 密钥和运行时机密

之前已经介绍了移动应用程序中的 API 漏洞，攻击者能够使用简单的逆向工程方法从移动应用程序中检索 API 密钥或应用程序机密。本周，我们将介绍如何保护 API 密钥和运行时机密。许多开发人员将他们的 API 密钥嵌入到应用程序二进制文件中，却没有意识到从中提取它们是非常容易的，无论是使用二进制静态分析还是通过中间机器攻击（MitM） “在线”提取。本文详细介绍了如何使用 Approov 移动保护来保护移动应用程序的完整性（称为移动应用证明）并为机密提供安全的传递通道。

开放式银行 API 安全最佳实践

接下来是HelpNetSecurity关于开放银行中API安全最佳实践的文章。虽然超过90%的银行现在提供开放银行服务以推动创新和个性化银行服务，但近二分之一的客户对开放银行存在安全问题。

本文提出了以下建议：

• 超越传统的 API 方法和最佳实践 — 考虑使用自学 AI、行为分析、安全分析、自动化......

• 采用安全设计理念 — 假设最坏的情况并为此进行设计。

• 主动发现 API 并跟踪您的库存 - 您无法保护看不到的内容。

• 采用基于风险的安全方法 — 了解重要因素并加以保护。

• 实施零信任策略。

• 识别并修复漏洞、漏洞和配置错误 — 持续减少攻击面。

• 实时阻止 API 攻击。

SBOM 是否对 API 攻击有帮助

继拜登总统于 2021 年 5 月发布关于改善国家网络安全的行政命令之后，SBOM 已成为软件安全行业的热门话题。对于不熟悉 SBOM 的人，可以将其视为应用程序的组件列表：通常，它们包括应用程序使用的依赖项（库和组件）。直观地说，拥有最新的 SBOM 允许组织根据构成组件的风险立即评估应用程序可能带来的风险。

但是，可能拥有可供对手使用的 SBOM 有一个缺点：将 SBOM 映射到相应的漏洞数据库（描述漏洞的性质）或更糟糕的是映射到漏洞利用数据库（描述如何针对已知漏洞发起攻击）是一件简单的事情。熟练的 API 攻击者可以映射给定 API 中的所有漏洞，然后构建专门针对这些漏洞的攻击。

感谢 APIsecurity.io 提供相关内容

[上一篇]Scalpel：解构API复杂参数Fuzz的「手术刀」 [下一篇]KCon 2022议题分享：自动化API漏洞挖掘了解更多