漏洞:Microsoft联机帐户
重置账户密码的API节点是常见的攻击矢量,攻击者通过提交海量的重置密码的代码组合,在有限的时间窗口内强制执行重置密码的操作。 最近微软就被发现了这么一个API漏洞,攻击者可以通过上述的方式来强行破解并重置微软用户的密码。 后续微软已经解决了这个问题,并给了这位黑客5万美元的奖励。
实际上,微软在这之前已经采取了一些措施来预防系统被入侵: 账户密码不可以是简单的数字,客户端和API之间也有一些基本的加密; 限制了API的速率; 检测异常的同时间、多端点的请求,并拒绝来自这些IP地址的所有代码。
但还有需要补充的: 需要假设攻击者可以通过多个IP地址发起分布式攻击; 使用更复杂的重置代码,更复杂的组合可以使得攻击者更难暴力破解; 增加智能限速机制作为附加保护;
思考:API网关是正解吗?
答案是确定的,但是因人而异。 在微服务化的趋势下,加上因为疫情疫情更加普及的线上云,通过API的内外网交互也越来越多。已经有很多网络安全相关的专家提出了观点,API会下一个容易遭到攻击的危险目标。无论是在互联网还是传统行业,API安全网关将是各大企业不可或缺的安全大门。
那为什么说因人而异呢?因为虽然API安全防护非常重要,但也应结合行业特征来考虑安全投入与应用性之间的平衡。 像微软这样的互联网巨头,更重点的是关注高并发下的API服务能力,如果使用了过多的安全策略,很大程度上会导致API服务的性能和应用性不友好。所以推荐标准化的企业级API网关。 
而在金融、汽车制造等传统行业,对交易和生产的稳定性、安全性要求更高,而并发数并不像大型互联网企业那么高,因此这类企业会在政策监管的要求下,对API安全进行更加全面的防护。 Eolinker作为国内API领域的先行者,除了在企业级的微服务网关有优秀的技术水平,还有针对金融行业的非标准化API安全策略方案,在API层级保证数据安全,详细可以通过官网了解:www.eolinker.com
标签:网关,微软,正解,重置,密码,API,攻击者 来源: https://blog.csdn.net/qq_40857096/article/details/115212559
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。