OWASP十大API漏洞解析：如何抵御Bot攻击？

hanniuniu12

　　新型数字经济中，API是物联网设备、Web和移动应用以及业务合作伙伴流程的入口点。然而，API也是犯罪分子的前门，许多人依靠Bot来发动攻击。对于安全团队来说，保护API并缓解Bot攻击至关重要。那么Bot在API攻击中处于怎样的地位，组织又该如何抵御Bot攻击？本文将会为你逐一解读。
　　

　　当我们聚焦于OWASP十大API安全漏洞，可以了解到Bot在API攻击中的核心地位。十大API漏洞中有三个与Bot有直接明显的关联，分别是身份验证失败、无限制的资源消耗以及无限制访问敏感业务流程。以无限制的资源消耗为例，Bot会利用无限制的资源消耗，耗尽API的内存和处理能力。当Bot攻击为交互式应用程序（即人类使用的网页和移动应用程序）设计的API时，对性能的影响可能是灾难性的。

　　值得关注的是，Bot对不同API的影响方式并不相同。那些用于机器到机器通信并由自动化流程访问的API（通常是内部流程或合作伙伴的流程）通常通过双向TLS进行保护，在这种情况下，身份验证失效的风险较低，并且可以根据已验证的客户端实施速率限制。相反，最容易受到 Bot攻击的是那些只用于从交互式应用程序（即人类使用的网页和移动应用程序）获得流量的 API。为深入了解这种窥探行为并降低其成功几率，就需要一个有效的Bot攻击缓解系统。
　　

　　由于头分析、IP拒绝列表和验证码等旧技术不再有效，应用程序安全团队必须依靠丰富的客户端信号收集、JavaScript 和移动SDK以及复杂的机器学习来区分攻击工具和Bot行为，从而减少Bot攻击的出现。在机器学习(ML)的支持下，F5分布式云机器人防御分析所有交易，并仔细检查每个机器人攻击活动。它通过智能数字行为机器人分析技术主动识别模式并阻止未来的攻击媒介。部署灵活性方面，F5机器人防御可以轻松地在云中、本地或混合环境部署Bot防御用于保护本地和跨云端的旧有和现代应用。
　　

　　有利的经济形势促使攻击者使用Bot和自动化，对Web应用和API进行Bot攻击，导致滥用、帐户接管、欺诈、客户信任丧失和品牌受损。通过防欺骗的遥测收集、高度训练的人工智能和一流的安全操作，F5能保护应用和API免遭Bot攻击和恶意自动化，同时确保业务的正常运行和用户互动的顺畅。
　　https://www.f5.com.cn/solutions/use-cases/bot-management