[[440345]]

根據(jù)API安全服務(wù)提供商Salt Security的最新報(bào)告，近66%的企業(yè)缺乏基本 API 安全策略。這種安全能力差距尤其令人擔(dān)憂，因?yàn)殡S著GraphQL等相對(duì)較新技術(shù)的采用，針對(duì) API 的網(wǎng)絡(luò)攻擊正在增加。據(jù)了解，從 2020 年到 2021 年，GraphQL的采用率翻了一番，并且還在繼續(xù)加速。但是，圍繞 GraphQL 的安全意識(shí)仍然相對(duì)較低，GraphQL API可能會(huì)產(chǎn)生難以評(píng)估的安全風(fēng)險(xiǎn)。

Salt Security研究部門還在大型企業(yè)金融技術(shù)平臺(tái)中發(fā)現(xiàn)了一個(gè)新的GraphQL API 授權(quán)漏洞，該漏洞可能出現(xiàn)在嵌套 API 查詢中。據(jù)了解，該平臺(tái)以基于 API 的移動(dòng)應(yīng)用程序和 SaaS 形式向中小型企業(yè)和商業(yè)品牌提供金融服務(wù)，其技術(shù)堆棧使用 GraphQL 來支持使用移動(dòng)應(yīng)用程序的客戶活動(dòng)，同時(shí)，它還利用第三方 API 來檢索先前客戶交易的記錄。這個(gè)發(fā)現(xiàn)的漏洞使?jié)撛诠粽吣軌虿倏v API 調(diào)用，以竊取數(shù)據(jù)并發(fā)起未經(jīng)授權(quán)的交易。

此外，研究人員發(fā)現(xiàn)一些 API 調(diào)用能夠訪問不需要身份驗(yàn)證的 API 端點(diǎn)，從而使攻擊者能夠輸入任何交易標(biāo)識(shí)符并獲取以前的金融交易數(shù)據(jù)記錄。如今，因?yàn)槭褂? GraphQL 的開發(fā)人員數(shù)量正在增加，同時(shí)，由于GraphQL API 獨(dú)特的靈活性和結(jié)構(gòu)而難以保護(hù)，使得GraphQL 的漏洞問題日益凸顯，企業(yè)需要采取相關(guān)措施以應(yīng)對(duì)這一問題。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文