【API安全】 在Office 365的Excel中，雖然有了Copilot，目前我們還無法使用。不過可以用自定義Formula來調(diào)用ChatGPT來實現(xiàn)。本文是演示使用VBA創(chuàng)建一個自定義函數(shù) AI()調(diào)用OpenAI API，并返回API的響應(yīng)。 ...

【API安全】 本文簡單回顧了 API 的發(fā)展歷史，其基本概念、功能、相關(guān)協(xié)議、以及使用場景，重點討論了與之相關(guān)的不同安全要素、威脅、認(rèn)證方法、以及十二項優(yōu)秀實踐。?? 根據(jù)有記錄的歷史，隨著 Salesforce 的銷售自動化解決方案的推出，首個 ...

【API安全】 了解接口常見漏洞，將幫助你在測試接口獲取更多的思路。 信息披露 信息可能會在 API 響應(yīng)或公共來源（如代碼存儲庫、搜索結(jié)果、新聞、社交媒體、目標(biāo)網(wǎng)站和公共 API 目錄）中披露。 敏感數(shù)據(jù)可以包含攻擊者可以利用的任何信息...

【API安全】 導(dǎo)讀：面試官如果問您怎么保證API的安全，本文值得借鑒。 如何保證外網(wǎng)開放接口的安全性？ 使用加簽名方式，防止數(shù)據(jù)篡改 信息加密與密鑰管理 搭建OAuth2.0認(rèn)證授權(quán) 使用令牌方式 搭建網(wǎng)關(guān)實現(xiàn)黑名...

【API安全】 OAuth 2.0?是一種安全標(biāo)準(zhǔn)，您可以授予一個應(yīng)用程序訪問另一個應(yīng)用程序中的數(shù)據(jù)的權(quán)限。我們有一個商定的標(biāo)準(zhǔn)，可以安全地允許一個服務(wù)訪問另一個服務(wù)的數(shù)據(jù)。不幸的是，這些標(biāo)準(zhǔn)使用了大量的行話和術(shù)語，這使得它們更難理解。本文的目的是使用簡化的插圖來解釋這些標(biāo)準(zhǔn)是如何工作的。

【API安全】 這篇文章討論了Cookies在網(wǎng)站中的用途，以及它們?nèi)绾伪挥糜诟櫽脩粜袨楹捅３值卿洜顟B(tài)。同時，文章指出了Cookie竊取和會話劫持的風(fēng)險，即攻擊者通過竊取活動Cookies來冒充用戶執(zhí)行操作。文章還描述了一個具體的事件響應(yīng)調(diào)查案例，其中黑客通過注入混淆的惡意代碼到WordPress網(wǎng)站的合法JavaScript文件中來竊取Cookies。這些代碼會檢查用戶代理，排除搜索引擎爬蟲，然后收集活動Cookie數(shù)據(jù)并發(fā)送到一個假冒的WordPress API域名。文章最后強調(diào)了網(wǎng)站管理員在審計代碼時需要警惕拼寫錯誤和域名的合法性，以及使用核心文件完整性檢查或網(wǎng)站監(jiān)控服務(wù)來檢測潛在的安全問題。

【API安全】 前言 首先我們需要了解API基本的一些知識，我們首先來看幾個GET方式的API GET /api/books HTTP/1.1Host: example.com 首先上面這種，是api的端點，也就是請求點，通過交互獲得圖書...

【API安全】 OAuth 2.0 和 OpenID Connect （OIDC） 是用于用戶身份驗證和授權(quán)的行業(yè)標(biāo)準(zhǔn)協(xié)議。Okta 身份解決方案基于這些標(biāo)準(zhǔn)。

【API安全】 API 不安全和爬蟲程序的自動濫用導(dǎo)致全球高達(dá) 11.8% 的網(wǎng)絡(luò)事件和損失，與 Bot 相關(guān)的安全事件數(shù)量在 2022 年和 2023 年分別增長了 88% 和 28%，與 2021 年相比，不安全的 API 造成的損失高達(dá) 120 億美元。

【API安全】 在“API 應(yīng)用安全”中，了解API接口面臨的常見安全威脅是保障應(yīng)用安全的關(guān)鍵。API接口在支持系統(tǒng)間數(shù)據(jù)交換和操作請求的同時，也暴露出許多潛在風(fēng)險。這些安全威脅不僅會危及API接口本身，還會影響整個應(yīng)用系統(tǒng)的安全性。本文將介紹幾種常見的API攻擊方式及API特有的安全風(fēng)險。

【API安全】 API 安全是現(xiàn)代應(yīng)用程序的核心部分，保護用戶數(shù)據(jù)和系統(tǒng)免受攻擊。最佳實踐包括采用強身份驗證、加密數(shù)據(jù)傳輸、實施最小權(quán)限原則、定期進(jìn)行安全測試與審計等措施。這些做法應(yīng)貫穿 API 開發(fā)的全過程，確保系統(tǒng)安全。

【API安全】 在本篇文章中，我們將通過代碼交換證明密鑰擴展來介紹授權(quán)代碼流程，以便更好地了解其工作原理以及如何處理從流程中獲取的授權(quán)令牌。

【API安全】 OAuth 2.0 將很多細(xì)節(jié)留給了實施者。例如，它支持范圍，但未指定范圍名稱。它支持訪問令牌，但未指定這些令牌的格式。使用 OIDC，定義了許多特定的范圍名稱，每個名稱都會產(chǎn)生不同的結(jié)果。

【API安全】 如何在不降低速度的情況下保持準(zhǔn)確的用戶數(shù)據(jù)？不斷訪問 PostgreSQL 數(shù)據(jù)庫以獲取數(shù)百萬條記錄既昂貴又緩慢。同時實現(xiàn)準(zhǔn)確性和速度通常需要在兩者之間做出妥協(xié)。讓我們通過開發(fā)一個自定義插件（在網(wǎng)關(guān)級別）來達(dá)到實際的平衡，該插件經(jīng)常加載和本地緩存數(shù)據(jù)，供 OPA 用于評估其策略。

【API安全】 隨著安全風(fēng)險的不斷變化，最佳實踐和行業(yè)標(biāo)準(zhǔn)可以確保 API 和整體應(yīng)用程序的安全性。其中許多安全風(fēng)險很容易利用，但也很容易理解和緩解。強烈建議以安全優(yōu)先的思維方式開發(fā)應(yīng)用程序，因為它可以為團隊節(jié)省多余的工作。