根據API安全服務提供商SaltSecurity的最新報告,近66%的企業(yè)缺乏基本API安全策略。這種安全能力差距尤其令人擔憂,因為隨著GraphQL等相對較新技術的采用,針對API的網絡攻擊正在增加。據了解,從2020年到2021年,GraphQL的采用率翻了一番,并且還在繼續(xù)加速。但是,圍繞GraphQL的安全意識仍然相對較低,GraphQLAPI可能會產生難以評估的安全風險。
SaltSecurity研究部門還在大型企業(yè)金融技術平臺中發(fā)現了一個新的GraphQLAPI授權漏洞,該漏洞可能出現在嵌套API查詢中。據了解,該平臺以基于API的移動應用程序和SaaS形式向中小型企業(yè)和商業(yè)品牌提供金融服務,其技術堆棧使用GraphQL來支持使用移動應用程序的客戶活動,同時,它還利用第三方API來檢索先前客戶交易的記錄。這個發(fā)現的漏洞使?jié)撛诠粽吣軌虿倏vAPI調用,以竊取數據并發(fā)起未經授權的交易。
此外,研究人員發(fā)現一些API調用能夠訪問不需要身份驗證的API端點,從而使攻擊者能夠輸入任何交易標識符并獲取以前的金融交易數據記錄。如今,因為使用GraphQL的開發(fā)人員數量正在增加,同時,由于GraphQLAPI獨特的靈活性和結構而難以保護,使得GraphQL的漏洞問題日益凸顯,企業(yè)需要采取相關措施以應對這一問題。
