根据API安全服务提供商SaltSecurity的最新报告,近66%的企业缺乏基本API安全策略。这种安全能力差距尤其令人担忧,因为随着GraphQL等相对较新技术的采用,针对API的网络攻击正在增加。据了解,从2020年到2021年,GraphQL的采用率翻了一番,并且还在继续加速。但是,围绕GraphQL的安全意识仍然相对较低,GraphQLAPI可能会产生难以评估的安全风险。
SaltSecurity研究部门还在大型企业金融技术平台中发现了一个新的GraphQLAPI授权漏洞,该漏洞可能出现在嵌套API查询中。据了解,该平台以基于API的移动应用程序和SaaS形式向中小型企业和商业品牌提供金融服务,其技术堆栈使用GraphQL来支持使用移动应用程序的客户活动,同时,它还利用第三方API来检索先前客户交易的记录。这个发现的漏洞使潜在攻击者能够操纵API调用,以窃取数据并发起未经授权的交易。
此外,研究人员发现一些API调用能够访问不需要身份验证的API端点,从而使攻击者能够输入任何交易标识符并获取以前的金融交易数据记录。如今,因为使用GraphQL的开发人员数量正在增加,同时,由于GraphQLAPI独特的灵活性和结构而难以保护,使得GraphQL的漏洞问题日益凸显,企业需要采取相关措施以应对这一问题。
