根據(jù)API安全服務(wù)提供商SaltSecurity的最新報(bào)告,近66%的企業(yè)缺乏基本API安全策略。這種安全能力差距尤其令人擔(dān)憂,因?yàn)殡S著GraphQL等相對(duì)較新技術(shù)的采用,針對(duì)API的網(wǎng)絡(luò)攻擊正在增加。據(jù)了解,從2020年到2021年,GraphQL的采用率翻了一番,并且還在繼續(xù)加速。但是,圍繞GraphQL的安全意識(shí)仍然相對(duì)較低,GraphQLAPI可能會(huì)產(chǎn)生難以評(píng)估的安全風(fēng)險(xiǎn)。
SaltSecurity研究部門還在大型企業(yè)金融技術(shù)平臺(tái)中發(fā)現(xiàn)了一個(gè)新的GraphQLAPI授權(quán)漏洞,該漏洞可能出現(xiàn)在嵌套API查詢中。據(jù)了解,該平臺(tái)以基于API的移動(dòng)應(yīng)用程序和SaaS形式向中小型企業(yè)和商業(yè)品牌提供金融服務(wù),其技術(shù)堆棧使用GraphQL來支持使用移動(dòng)應(yīng)用程序的客戶活動(dòng),同時(shí),它還利用第三方API來檢索先前客戶交易的記錄。這個(gè)發(fā)現(xiàn)的漏洞使?jié)撛诠粽吣軌虿倏vAPI調(diào)用,以竊取數(shù)據(jù)并發(fā)起未經(jīng)授權(quán)的交易。
此外,研究人員發(fā)現(xiàn)一些API調(diào)用能夠訪問不需要身份驗(yàn)證的API端點(diǎn),從而使攻擊者能夠輸入任何交易標(biāo)識(shí)符并獲取以前的金融交易數(shù)據(jù)記錄。如今,因?yàn)槭褂肎raphQL的開發(fā)人員數(shù)量正在增加,同時(shí),由于GraphQLAPI獨(dú)特的靈活性和結(jié)構(gòu)而難以保護(hù),使得GraphQL的漏洞問題日益凸顯,企業(yè)需要采取相關(guān)措施以應(yīng)對(duì)這一問題。
