[[440345]]

根據API安全服務提供商Salt Security的最新報告，近66%的企業缺乏基本 API 安全策略。這種安全能力差距尤其令人擔憂，因為隨著GraphQL等相對較新技術的采用，針對 API 的網絡攻擊正在增加。據了解，從 2020 年到 2021 年，GraphQL的采用率翻了一番，并且還在繼續加速。但是，圍繞 GraphQL 的安全意識仍然相對較低，GraphQL API可能會產生難以評估的安全風險。

Salt Security研究部門還在大型企業金融技術平臺中發現了一個新的GraphQL API 授權漏洞，該漏洞可能出現在嵌套 API 查詢中。據了解，該平臺以基于 API 的移動應用程序和 SaaS 形式向中小型企業和商業品牌提供金融服務，其技術堆棧使用 GraphQL 來支持使用移動應用程序的客戶活動，同時，它還利用第三方 API 來檢索先前客戶交易的記錄。這個發現的漏洞使潛在攻擊者能夠操縱 API 調用，以竊取數據并發起未經授權的交易。

此外，研究人員發現一些 API 調用能夠訪問不需要身份驗證的 API 端點，從而使攻擊者能夠輸入任何交易標識符并獲取以前的金融交易數據記錄。如今，因為使用 GraphQL 的開發人員數量正在增加，同時，由于GraphQL API 獨特的靈活性和結構而難以保護，使得GraphQL 的漏洞問題日益凸顯，企業需要采取相關措施以應對這一問題。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文