• Jitanon Maneekhwan

6 ช่องโหว่ ด้านความปลอดภัยของ API


#SecurityUpdate | รู้ก่อน ป้องกันได้ กับ 6 ช่องโหว่ยอดนิยมด้านความปลอดภัยของ API ที่มักถูกมองข้าม

ในโลกปัจจุบัน องค์กรต่าง ๆ ทั่วโลกล้วนตกอยู่ภายใต้การคุกคามด้วยการโจมตี API อย่างต่อเนื่อง ด้วยช่องโหว่ใหม่ ๆ ดังนั้นการตรวจสอบ API ทั้งหมดเพื่อหาภัยคุกคามที่อาจเกิดขึ้นเป็นประจำจึงเป็นสิ่งสำคัญอันดับต้น ๆ ที่ไม่ควรมองข้าม

เพราะหากแฮ็กเกอร์ใช้ช่องโหว่ด้านความปลอดภัยของ API เพื่อเข้าถึง API ของคุณได้ นั่นอาจกลายเป็นหายนะสำหรับองค์กรของคุณเลยก็เป็นได้

และถ้าหากคุณต้องการลดความเสี่ยงจากการคุกคาม หรือการโจมตีทางไซเบอร์ สิ่งแรกที่คุณต้องตระหนัก คือถึงช่องโหว่ของ API ที่อาจเกิดขึ้น ซึ่งอาจทำให้เหล่าอาชญากรไซเบอร์สามารถใช้เป็นประโยชน์ได้ และนี่คือ 6 ช่องโหว่ทางด้านความปลอดภัยที่คุณไม่ควรมองข้าม


--------------------------------------------------------------------------------------------------


👀การไม่มีการตรวจสอบ API ที่ซ่อนเร้น

หากคุณขยายการใช้เครือข่ายบนคลาวด์ ก็จะทำให้จำนวนอุปกรณ์และ API ที่ใช้เพิ่มขึ้นเช่นกัน และบางทีอาจมี API ที่เลิกใช้งานไปแล้วเกิดขึ้น และซ่อนเร้นอยู่ ซึ่งหากไม่ได้มีการตรวจสอบอย่างสม่ำเสมอ โดยทีมรักษาความปลอดภัยของคุณก็อาจกลายเป็นโอกาสมากขึ้นสำหรับการโจมตีทางไซเบอร์


💪การใช้ API ส่งคำขอซ้ำ ๆ

ในกรณีที่มี API ที่มากกว่า 1 API พยายามใช้ URL เดียวกัน อาจทำให้เกิดปัญหาการใช้งาน API ซ้ำซ้อน ซึ่งจะเป็นช่องโหว่ให้กับเหล่าแฮกเกอร์สามารถโจมตีได้ ดังนั้นเพื่อหลีกเลี่ยงปัญหานี้ API แต่ละรายการควรมี URL เฉพาะเป็นของตัวเอง


⛔ภัยคุกคามด้านความพร้อมให้บริการ

การถูกโจมตีแบบ DDoS API นี้มาจากความช่วยเหลือของบ็อตเน็ต มันสามารถโอเวอร์โหลดรอบ CPU และพลังประมวลผลของเซิร์ฟเวอร์ API ได้ และทำให้ระบบไม่รับส่งข้อมูลที่ถูกต้องได้


💬การแชร์ API

การแชร์ API ระหว่างคู่ค้าหรือลูกค้า อาจทำให้ระบบทำงานหนักมากเกินไป จนเกิดความเสี่ยงทางด้านความปลอดภัย ดังนั้นจึงควรตรวจสอบการเรียก API อย่างสม่ำเสมอ เพื่อเป็นการอุดช่องโหว่ด้านความปลอดภัยของ API


💉API Injection

API Injection คือการแทรกโค้ดที่เป็นอันตรายร้ายแรงไปพร้อมกับคำขอ API ซึ่งเมื่อเกิดการแทรกโค้ดเข้าไปแล้ว จะสามารถลบเว็บไซต์ทั้งหมดของผู้ใช้ออกจากเซิร์ฟเวอร์ได้ ทั้งนี้สาเหตุหลักที่ API เสี่ยงต่อความเสี่ยงนี้ก็คือนักพัฒนา API ไม่สามารถล้างข้อมูลอินพุตก่อนที่จะปรากฏในรหัส API


💻การโจมตีอุปกรณ์ IoT ผ่าน API

เมื่อเวลาผ่านไปและความก้าวหน้าทางเทคโนโลยี แฮกเกอร์มักจะใช้วิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ IoT แม้ว่า API จะเปิดใช้งานการขยายที่มีประสิทธิภาพ แต่ก็เปิดช่องทางใหม่สำหรับแฮกเกอร์เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนบนอุปกรณ์ IoT ของคุณได้ เพื่อหลีกเลี่ยงภัยคุกคามและความท้าทายมากมายที่อุปกรณ์ IoT ต้องเผชิญ จะต้องมีการตรวจสอบให้ API มีความปลอดภัยมากขึ้น


--------------------------------------------------------------------------------------------------


นี่ก็คือ 6 ความเสี่ยงด้านความปลอดภัย API ที่มักจะถูกมองข้ามไป จะเห็นได้ว่า ความเสี่ยงบางอย่างอาจจะเป็นเพียงจุดเล็กๆ แต่ก็อาจจะส่งผลร้ายแรงตามมาได้เลยทีเดียว ดังนั้นเพื่อให้การป้องกัน API ทำงานได้อย่างปลอดภัย ก็ควรจะเฝ้าระวังอย่างมีสติและไม่มองข้ามจุดบอดเล็กๆเหล่านั้น


ที่มา : The Hacker News


#API #Risk #CyberAttack #Security #Securitypitch

ดู 27 ครั้ง0 ความคิดเห็น