如何保护API端点？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

HAwebsso.nl未受保护API端点泄露1.5万医生凭证数据

未受保护的API端点导致HAwebsso.nl泄露1.5万医生用户名和密码哈希背景我白天是全科医生，晚上是安全研究员。...admin.js文件中的部分源代码：$scope.GetAdmin = function () { return $http({ method: 'GET', url: '/api...如果我们访问相同的端点并将/admin替换为ID（比如15000）：https://hawebsso.nl/api/v1/user/15000用户ID 15000存在，所有账户详细信息都与我们共享，包括密码...这个端点未受保护，不需要任何授权。由于它是一个通用路径，黑客可以轻松猜到。讨论LHV在其网站上发布了负责任的披露政策，允许我进行这项研究。...防止此类数据泄露的良好保护是双因素认证（2FA），HAwebsso.nl支持此功能，但默认未激活。我的建议是激活它，以便在密码泄露时使攻击者更难访问您的账户。如何避免此类错误？

1261 0

用 Identity Server 4 (JWKS 端点和 RS256 算法) 来保护 Python web api

[新添加] 本文对应的源码 (多个flow, clients, 调用python api): https://github.com/solenovex/Identity-Server-4-Python-Hug-Api-Jwks...目前正在使用asp.net core 2.0 (主要是web api)做一个项目, 其中一部分功能需要使用js客户端调用python的pandas, 所以需要建立一个python 的 rest api...然后让hug api使用cors中间件: api = hug.API(__name__) api.http.add_middleware(CORSMiddleware(api)) 然后是hug的authentication...其他的python api框架, 都是同样的道理....= hug.API(__name__) api.http.add_middleware(CORSMiddleware(api)) def token_verify(token): access_token

1.7K8 0

您找到你想要的搜索结果了吗？

是的

没有找到

如何使用crAPI学习保护API的安全

关于crAPI crAPI是一个针对API安全的学习和研究平台，在该工具的帮助下，广大研究人员可以轻松学习和了解排名前十的关键API安全风险。...因此，crAPI在设计上故意遗留了大量安全漏洞，我们可以通过 crAPI学习和研究API安全。...crAPI采用了现代编程架构，该工具基于微服务架构构建，只需建立一个账号，即可开启我们的API安全研究之旅。

1.2K2 0

JSON Web 令牌（JWT）是如何保护 API 的

你可以已经听说过 JSON Web Token (JWT) 是目前用于保护 API 的最新技术。与大多数安全主题一样，如果你打算使用它，那很有必要去了解它的工作原理（一定程度上）。...让我们看下，我能否解释清楚 JWT 是如何在不引起你的注意下保护您的 API ！ API 验证某些 API 资源需要限制访问。例如，我们不希望一个用户能够更改另一个用户的密码。...保护HTTP API的困难在于请求是无状态的 —— API 无法知道是否有两个请求来自同一用户。那么，为什么不要求用户在每次调用 API 时提供其 ID 和密码呢？仅因为那将是可怕的用户体验。...您如何使用它来验证您的API？登录用户登录时会生成令牌，令牌会与用户模型一起存储在数据库中。...logoutController.js user.token = null; user.save(); 总结因此，这是关于如何使用 JSON Web 令牌保护 API 的最基本的说明。

3.3K1 0

使用腾讯云 API 网关保护 API 安全

本文将带您了解如何使用腾讯云 API 网关保护 API 安全，为您的业务保驾护航。在腾讯云 API 网关上一般可以通过 9 种方式来保护 API 安全： 1. 链路加密； 2. 认证鉴权； 3....流量监控与保护； 8. DDoS 防护能力； 9. 与 Web 应用防火墙 WAF 结合；以下将分别介绍每种方式的作用场景与配置方法。 01....腾讯云 API 网关支持基于 TLS 协议对链路中传输的报文数据进行加密，保护传输数据不会被泄露及篡改。 02....认证鉴权鉴权（authentication）是指验证用户是否拥有访问业务系统的权利，也是保护 API 安全最常见的一种方式。...流量监控与保护流量监控与保护的内容在 API 网关的上一篇最佳实践，可参考：使用腾讯云 API 网关实现多维度精细化限流 08.

8.5K2 1

HugggingFace 推理 API、推理端点和推理空间使用介绍

本文将介绍 HuggingFace 的推理 API、推理端点和推理空间的使用方法。...如果想要在生产环境部署一个专属的推理 API 服务，我们可以使用 HuggingFace 的推理端点（Endpoint）。...HuggingFace API 是免费的，但 HuggingFace 的推理端点是要收费的，毕竟是自己专属的 API 服务。...信息确认无误后点击Create Endpoint按钮创建推理端点，创建成功后可以进入推理端点的详情页面看到如下信息：其中Endpoint URL就是部署好的推理端点地址，我们可以跟调用推理 API...总结本文介绍了 HuggingFace 的推理 API、推理端点和推理空间的使用方法，推理 API 是免费的，使用 HuggingFace 自建的 API 服务，推理端点是部署自己专属的 API 服务

3.9K4 0

使用OAuth2保护API

OAuth2是一种授权框架，用于保护API和其他Web资源。它使客户端（应用程序或服务）可以安全地访问受保护的资源，而无需暴露用户凭据（例如用户名和密码）。...以下是使用OAuth2保护API的详细步骤：步骤1：注册客户端在使用OAuth2保护API之前，客户端必须先在OAuth2服务器上进行注册。...以下是使用OAuth2保护API的示例：假设我们有一个受保护的API，客户端需要使用OAuth2才能访问该API。...我们将使用以下步骤来保护API：步骤1：注册客户端客户端需要在OAuth2服务器上注册。...如果访问令牌有效，受保护的API将返回请求的资源。

1.5K2 0

保护Kubernetes负载：Gateway API最佳实践

利用 Gateway API 作为你可信赖的盾牌,保护你的 Kubernetes 王国。...下面是高层次概述如何使用 Gateway API 配置安全策略: 定义安全目标: 明确规定你的安全目标,例如限制访问特定服务、阻止未经授权的请求或实现限速。...用例 3:API 的限速使用 Gateway API 为 API 端点实现限速。定义规则,限制来自单个 IP 地址的每分钟请求数。...在本节中,我们将深入探讨加密的重要性,阐明如何使用 Gateway API 无缝管理 TLS 证书,并提供证书管理和续期的最佳实践。...下面是如何使用 Gateway API 有效管理证书: 证书提供: 首先从可信的证书颁发机构(CA)或必要时从自签名 CA 获取 TLS 证书。

4241 0

实战｜使用Windows API绕过进程保护

驱动(看这名字应该还有360SelfProtection_win10.sys文件)，在0环通过hook等手段保护注册表项，重要进程进程等。...而是由于在底层，杀死进程的API已经被hook了，这里应该是内核hook，当想要结束的进程为核心进程时，就直接返回一个无法终止进程的弹窗。...本文就如何实现一个进程保护功能进行探究，驱动就不写了，就写一个用户层的。实现原理 windows提供了一个可以杀死其他进程的API：TerminateProcess。...获取API地址并创建新的hook函数 static BOOL(WINAPI* OldTerminateProcess)( HANDLE hProcess, UINT uExitCode)...根据实验：任务管理器会不断地调用openprocess这个api，不管有没有操作都会一直调用。这里就用微软更加稳定的detours库。

3.3K2 0

企业保护API安全迫在眉睫

这一数据侧面表明，大型企业正在加速数字化转型，特别容易受到与未受保护API 有关的安全风险影响。 API 作为一种无形的连接组织，使应用程序能够共享数据，最终改善了用户体验。...研究表明，现阶段，企业使用的 API 数量正在迅速增长，近一半企业在内部或公开部署了 50-500 个 API，一些稍大型企业甚至部署了超过 1000 个活跃的API。...，企业需要能够发现其环境中所有的API并清楚数据在 API 流动动向。 ...启用API治理：对于高度监管行业的实体组织来说，API 治理模式至关重要，只有在可见性超出 API 端点并延伸到底层有效载荷的情况下才有可能，因此可以充分保护敏感数据。...最后，Triebes 强调，每个与 API 相关的安全事件的根源都是数据，保护API 需要转变思维方式，重点是要对数据进行分类，了解生产中的每个 API 是如何访问数据的，这种方式需要安全和开发团队共同努力

3573 0

聊聊springboot项目如何实现自定义actuator端点

你可以选择使用 HTTP 端点或 JMX 来管理和监控你的应用程序。审计、健康和指标收集也可以自动应用于你的应用程序。...actuator默认为我们内置了以下端点 ID 描述默认启用默认公开 auditevents 公开当前应用程序的审计事件信息 Yes No beans 显示应用程序中所有Spring bean的完整列表...，但有时候我们需要自定义端点。...下面就列举一下几种常用的自定义端点 02 自定义端点自定义前置条件，在pom.xml引入 org.springframework.boot...，我们可以通过 @Endpoint注解 + @ReadOperation、@WriteOperation、@DeleteOperation注解来实现自定义端点。

1K3 0

如何保护本特利3500监测与保护系统

本特利3500在线监测与保护系统。监测与保护系统大型机组设备提供连续的在线状态监测与保护，在检测和防止旋转机械的误跳闸和误跳闸方面处于世界领先地位。...全球安装超过80000台，通过跳闸监控机器提供自动保护值，在需要时防止昂贵的损坏。...3500系统还可以保护您的机器和流程，防止错误的跳闸，这些错误跳闸可能会毫无理由地导致您的操作停机，从而导致昂贵的停机或生产损失。...2023年有网络安全人员发现本特利3500的严重漏洞，本文中，介绍在本特利3500 上如何针对CVE-2023-34437漏洞的防护。...该机架配置为在访问级别（“连接密码”）和配置级别（“配置密码”）启用密码保护，以模拟启用两种保护的真实场景。然后对专有协议进行分析和逆向工程，以识别设计级别和实现级别可能存在的弱点。

6321 0

如何保护多云环境

集中日志记录和统一日志永远不会说谎；安全操作中心（SOC）使用通用的格式来关联和响应事件，这些事件可能表示恶意参与者使用类似的技术和过程针对不同的端点，团队将减少将不同的数据拼接在一起所需的时间。...集成和编排没有安全控制将成为孤岛，保护跨环境工作负载的安全控制也不应该是孤岛。对于具有成熟DevOps功能的团队，需要在控件之间存在紧密的集成，以构建自动编排和管理功能。...如何改变政策？独特的平台可以在几乎实时的情况下扩展所有属性的对策，而不必考虑托管。在安全方面，多样性很重要，特别是在纵深防御方面。

7693 0

Identity Server 4 - Hybrid Flow - 保护API资源

这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源....会在被保护的API那里再次进行验证....保护API 首先在IDP里配置一个返回ApiResoruce的方法: ? 和IdentityResource类似, ApiResource就是与API相关的scopes....我在API项目里使用过滤器为所有的Controller都加上了授权过滤: ? 当然也可以在具体的Controller或Action级写上这个: ? 无论如何现在访问Country资源是需要授权的....看一下aud (audience, 观众) 这个属性, 它有两个值, 第一个是指IDP那边对资源 (调用用户信息端点), 第二个就是指API那个项目.

8682 0

Web应用攻击激增，该保护 API 了！

除此之外，应用程序开发自身变化也是非常重要的，从 DevOps 的角度来看，API 的快速扩散和向云原生计算的转变等发展是有益的，但对于安全团队来说，应用架构变化和随之而来攻击面增加，使维护企业安全的工作变得更加困难...API保护的重要性与欺诈和网络犯罪有关的网络攻击在疫情期间已经逐渐失去控制，据英国国家欺诈情报局预估，仅在2021年上半年就造成了约13亿英镑的损失，是2020年同期的三倍多。...从Peter Klimek的观点来看，企业通过其网络应用看到的流量比以往任何时候都多，特别是API。...现在超过70%的网络流量是通过API来实现的，意味着企业的风险只会越来越大，企业需要投资一个全面的Web应用和API保护（WAAP）堆栈，其中包括RASP和高级僵尸保护等元素，使其能够更好得保护从边缘到数据库的一切资源

5644 0

Ids4 认证保护 API 方案更新

这几天大家都知道，我在视频《微服务之eShop讲解》，目前讲到了购物车微服务部分，看到了官方架构中用到了Ids4的认证平台，和保护资源Api，和我写的认证方案不一样，所以我就开始研究了下官方，发现了原因...更新的内容还是很多的，绝大多数的更新还是ids4认证平台的，其实在其他的地方也有了些许的变化，今天说的就是关于受保护资源服务器的一个小更新，关于ProtectingAPIs这一章节的。 ‍...1、之前版本是如何保护Api的在Authentication_Ids4Setup.cs中，我定义了一个服务扩展，用来添加Ids4的认证服务，其中有两个部分，第一个部分就是添加认证服务： services.AddAuthentication...资源名 options.Audience = "blog.core.api"; }); } public void Configure...2、可以取消Api资源服务中对Ids4的引入，比如那个nuget包。

1.3K2 0

聊聊springboot项目如何实现自定义actuator端点

你可以选择使用 HTTP 端点或 JMX 来管理和监控你的应用程序。审计、健康和指标收集也可以自动应用于你的应用程序。...actuator默认为我们内置了以下端点 ID 描述默认启用默认公开 auditevents...，但有时候我们需要自定义端点。...下面就列举一下几种常用的自定义端点自定义端点自定义前置条件，在pom.xml引入 org.springframework.boot...，我们可以通过 @Endpoint注解 + @ReadOperation、@WriteOperation、@DeleteOperation注解来实现自定义端点。

1.2K0 0

如何保护 Windows RPC 服务器，以及如何不保护。

如何保护 Windows RPC 服务器，以及如何不保护。 PetitPotam技术在人们的脑海中仍然记忆犹新。...基本上有三种方式，可以混搭：保护端点保护接口临时安全让我们依次来确定每个人如何保护 RPC 服务器。...保护端点您使用RpcServerUseProtseqEp API注册 RPC 服务器将侦听的端点。...此 API 采用端点类型，例如ncalrpc (ALPC)、ncacn_np （命名管道）或ncacn_ip_tcp （TCP 套接字）并创建侦听端点。...无论如何，如果您想使用 TCP 端点，则不能依赖端点安全性，因为它不存在。保护接口保护 RPC 服务器的下一个方法是保护接口本身。

3.8K2 0

一文了解如何使用数字身份认证平台 EIAM 保护 API 网关访问

最终用户无论是移动客户端、Web 客户端、物联网或其他应用，都可以通过 API 网关调用 API 服务。...为了确保 API 调用的安全性，API 网关目前支持免鉴权、应用认证、OAuth2.0 三种方式。...采用 EIAM 为API 网关提供认证和鉴权能力可以为 API 调用提供更为安全和简便的方式。 1.PNG 02. ...；在认证能力基础上支持鉴权功能，保护 API 安全； EIAM 内置多种 RBAC 模型，免自建鉴权服务器和授权模型；内置缓存机制，更快的访问速度； 03.功能亮点简析 1....创建 API 发布服务； 2. 对 API 进行授权； 3.

2.3K9 0

用 Identity Server 4 来保护 Python web api

项目的早期后台源码: https://github.com/solenovex/asp.net-core-2.0-web-api-boilerplate 下面开始配置identity server 4,...然后建立一个简单的api....而hug_middleware_cors是hug的一个跨域访问中间件(因为js客户端和这个api不是在同一个域名下)....最后运行 hug api: hug-fmain.py 端口应该是8000....其他的python api框架, 都是同样的道理.

1.4K9 0

点击加载更多

HAwebsso.nl未受保护API端点泄露1.5万医生凭证数据

用 Identity Server 4 (JWKS 端点和 RS256 算法) 来保护 Python web api

如何使用crAPI学习保护API的安全

JSON Web 令牌（JWT）是如何保护 API 的

使用腾讯云 API 网关保护 API 安全

HugggingFace 推理 API、推理端点和推理空间使用介绍

使用OAuth2保护API

保护Kubernetes负载：Gateway API最佳实践

实战｜使用Windows API绕过进程保护

企业保护API安全迫在眉睫

聊聊springboot项目如何实现自定义actuator端点

如何保护本特利3500监测与保护系统

如何保护多云环境

Identity Server 4 - Hybrid Flow - 保护API资源

Web应用攻击激增，该保护 API 了！

Ids4 认证保护 API 方案更新

聊聊springboot项目如何实现自定义actuator端点

如何保护 Windows RPC 服务器，以及如何不保护。

一文了解如何使用数字身份认证平台 EIAM 保护 API 网关访问

用 Identity Server 4 来保护 Python web api

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐