#защита_api — Public Fediverse posts

Цифровой щит: тандем WAF и API Firewall

Веб-приложения и API — это полноценные точки входа в бизнес. Через них проходят транзакции, данные, сценарии пользователей и интеграции с партнерами. Чем больше сервисов, тем шире поверхность атаки. И тем выше шанс, что в потоках легитимного трафика окажется что-то лишнее. В первой половине 2025 года российские компании зафиксировали более 63 000 атак. Это на 27 % больше, чем в прошлом году! Массовые автоматические штурмы уходят в прошлое, и чаще атака маскируется под легитимный запрос, но с параметрами, подобранными под уязвимость конкретного сервиса или бизнес-логики. Такие сценарии дольше остаются незамеченными и обходятся дороже, потому что бьют не по инфраструктуре в целом, а по конкретным процессам. На внешнем рубеже работает WAF. Он фильтрует веб-трафик и отсекает известные угрозы. Но, у него есть слепая зона — внутренняя механика API, где решается, что именно сервису можно, а что нельзя. Здесь нужен API Firewall, который проверяет структуру запросов, ограничивает частоту обращений и анализирует поведение клиента. Вместе они формируют защиту, способную закрыть и технические, и логические векторы атак. Как раз об этом всем и пойдет речь в этой статье. Она для тех, кто хочет понять, зачем нужны WAF и API Firewall вместе.

https://habr.com/ru/companies/ispsystem/articles/947938/

#ispsystem #waf #кибербезопасность #firewall #файрвол #сетевой_экран #защита_api #защита_приложений #контроль_доступа #billmanager

API за стеной: как и от каких рисков защищает API Firewall

Через API проходит большой объем данных, в том числе конфиденциальных. Естественно, такое «богатство» интересует киберпреступников. Они могут с помощью уязвимостей API обойти авторизацию в приложения, получить ценные данные компании или клиентов и т.п. Для защиты программных интерфейсов может использоваться API-Firewall, который работает, по позитивно модели безопасности: разрешены запросы, соответствующие заранее определённой спецификации API, а все остальное – запрещено. Но это теория, а как защита работает в жизни? В данном посте мы постарались описать кейсы использования API-Firewall на примере нашего решения ПроAPI Защита.

https://habr.com/ru/companies/webmonitorx/articles/936424/

#api #защита_api #кибератаки #owasp_top10

Безопасность на высоте: как защищать API сегодня. Часть 2

Всем привет! На связи Денис Кириллов, главный архитектор Platform V SOWA в СберТехе. Наше решение — это высокопроизводительный, гибкий и надежный шлюз безопасности API. Недавно мы с вами начали обсуждать способы защиты API в современном мире. Я рассказал о принципах безопасности API, о том, как спецификации API влияют на его защищённость и как валидация на соответствие спецификации помогает минимизировать потенциальные риски. Сегодня поговорим о проблемах валидации API и совместном использовании механизмов валидации и WAF. Разберёмся, почему необходим внешний компонент для валидации, который реализовывал бы функцию безопасности по отношению к API. И рассмотрим возможности продукта, который мы создали для решения этих задач. Если работаете в области информационной безопасности, сопровождения и разработки, то материал будет для вас особенно полезным.

https://habr.com/ru/companies/sberbank/articles/903524/

#защита_api

Безопасность на высоте: как защищать API сегодня

К 2030 году количество используемых в мире API составит около 2 миллиардов . Это в 8 раз больше, чем в 2018 году. Рост числа открытых точек увеличивает количество уязвимостей, угроз и прогнозируемых атак. По оценкам экспертов, к 2026–2027 годам рост прогнозируемых атак на API составит 156% от сегодняшнего состояния. Меня зовут Денис Кириллов, я главный архитектор решения Platform V SOWA в СберТехе. Сегодня я хотел бы рассказать о лучших практиках защиты API в современном мире. Эта тема довольно обширная, поэтому я разделил её на два материала. В первой статье рассмотрим принципы безопасности API, спецификации API и как они влияют на безопасность. Поговорим о проверке объектов на соответствие спецификации и о том, как она помогает снизить риски из списка Тор-10 API Security Risks . Во второй статье расскажу о проблемах валидации API и совместном использовании механизмов валидации и WAF. Выясним, почему необходим отдельный компонент, который реализовывал бы функцию безопасности по отношению к API. И рассмотрим возможности продукта Platform V SOWA, который мы создали для решения этих задач. Материал будет полезен специалистам в области информационной безопасности, сопровождения и разработки.

https://habr.com/ru/companies/sberbank/articles/867744/

#защита_api

Комплексная защита веб-приложений: От каких атак защищает WAF и продукты компании Вебмониторэкс?

Web Application Firewall (WAF) — это ключевой компонент системы безопасности веб-приложений, предназначенный для защиты от различных киберугроз, которые могут эксплуатировать уязвимости в коде или архитектуре приложения. Он анализирует запросы, направленные к веб-приложению, и фильтрует подозрительные действия, предотвращая широкий спектр атак.

https://habr.com/ru/companies/webmonitorx/articles/835908/

#информационная_безопасность #кибербезопасность #waf #api #защита_api #атаки #itкомпании #маппинг #софт #cybersecurity

Встречайте новые функции продукта «ПроAPI Структура» от команды «Вебмониторэкс»

Приветствуем вас, уважаемые пользователи и читатели Хабра! Мы рады представить вам долгожданные функции нашего продукта «ПроAPI Структура» от команды «Вебмониторэкс». Эти функции позволят вам еще более эффективно управлять и оптимизировать ваши API. Речь идет о «Настройке чувствительности», «Очистке трафика» и «Создание правил WAF для параметров роута». Давайте подробно рассмотрим каждую из них.

https://habr.com/ru/companies/webmonitorx/articles/824740/

#информационная_безопасность #структура_api #api_security #защита_api #защита_информации #уязвимости #кибербезопасность #тестирование_вебсервисов #itкомпании #waf

Предотвращение утечек API

Компонент «Предотвращение утечек API» расширяет функциональность ПО «Структура API» в области мониторинга скомпрометированных секретов (токенов) с дальнейшей возможностью блокировки таких токенов путём создания виртуальных патчей.Он предоставляет следующие возможности:

https://habr.com/ru/companies/webmonitorx/articles/820695/

#информационная_безопасность #структура_api #api_security #защита_api #защита_информации #уязвимости #кибербезопасность #тестирование_вебприложений #itкомпании #атаки

История успеха. Внедрение платформы «Вебмониторэкс» для защиты приложений «СберАвто»

В свете постоянно меняющегося ландшафта киберугроз, компания «СберАвто» столкнулась с необходимостью эффективно и быстро реагировать на появление новых уязвимостей и способов их эксплуатации. Особенно в части защиты web-приложений, так как основой бизнеса компании является её сайт. Инфраструктура компании построена на основе микросервисов взаимодействующих друг с другом по API, в связи с этим, сильно возросла важность обеспечения наблюдаемости всех API и мониторинга их изменений. Для обслуживания каждого инстанса web-приложения компания «СберАвто» использует кластерную пару веб-серверов Nginx , которые выполняют функции балансировки нагрузки, маршрутизации запросов и обработки HTTP-запросов от клиентов. Поэтому, при выборе межсетевого экрана уровня приложения (WAF) было важно обеспечить непрерывную интеграцию с существующей инфраструктурой на базе Nginx . Для защиты инфраструктуры, модули платформы от компании Вебмониторэкс были интегрированы во внутренние процессы связанные не только, с защитой приложений и сервисов, но с безопасной разработкой, сопровождением и динамическим тестированием. Гибкость в выборе вариантов установки ноды WAF как на балансировщики нагрузки, так и в контейнер рядом с конкретным приложением, обеспечила возможность защитить в том числе и сервисы, расположенные внутри инфраструктуры. Развертывание доступно с использованием playbook Ansible или Terraform , что существенно упрощает процесс установки и обслуживания. Платформа «Вебмониторэкс» имеет большие возможности обеспечения наблюдаемости и защиты API. В частности, для наблюдения за API, построения OAS и мониторинга изменений API был использован модуль «Структура API» (рис.1), более подробно про данный модуль можно прочитать в нашей документации .

https://habr.com/ru/companies/webmonitorx/articles/806409/

#Cтруктура_API #api_security #защита_информации #кибербезопасность #информационная_безопасность #защита_api

Новые угрозы в OWASP API Security Top 10

Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать. В 2023 году некоммерческая организация OWSAP обновила свой отчёт и выпустила новую версию 2023. По сравнению с 2023 годом, перечень рисков претерпел довольно сильные изменения, которые мы постарались представить в виде таблицы. Дополнительно, в таблице отмечено, какие из пунктов уже сейчас покрываются продуктами от «Выбмониторэкс», а какие будут закрыты в ближайшем будущем.

https://habr.com/ru/companies/webmonitorx/articles/806937/

#информационная_безопасность #owasp_top_10 #api #api_security #защита_информации #защита_api #атака #уязвимости #web_security #api_first

Обзор продукта «Структура API» и новой функциональности сравнения Open API спецификаций

Всем привет! Сегодня мы хотим вам рассказать о нашем продукте «Структура API» и последних изменениях в нём. Данный продукт позволяет решить одну из важнейших задач в управлении API – это получение актуальной и полной структуры API на основании реального трафика. Результат представляется в привычном swagger виде. На рисунке 1 представлен общий вид пользовательского интерфейса.

https://habr.com/ru/companies/webmonitorx/articles/804489/

#информационная_безопасность #структура_API #api_security #защита_api #уязвимости #кибербезопасность #тестирование_вебприложений #itкомпании #атаки

Web Application and API Protection (WAAP): эволюция WAF (Web Application Firewall)

WAAP (Web Application and API Protection) является брандмауэром веб-приложений следующего поколения WAF (Web Application Firewall) . Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся web-сервисов. Так как в мире CI/CD, динамики и API first компаний, функций традиционного WAF (Web Application Firewall) уже недостаточно. WAAP - это совокупность методов и технологий, которые используются для защиты веб-приложений и сервисов от атак и уязвимостей. WAAP включает в себя технологии, такие как WAF-NG, сканер уязвимостей, автоматическое обнаружение и блокирование атак 0-дня (в том числе с помощью виртуального патчинга), выявление аномалий с помощью технологий Machine Learning и смарт-капчи.

https://habr.com/ru/companies/owasp/articles/770384/

#WAAP #waf #web_application_firewall #защита_сайта #защита_api