假设我有一个网站通过他们的API从Constant Contact或Mailchimp中提取数据。然后由于一些不幸的原因,其中一个网站被黑客入侵。由于我通过API连接,我的网站现在更容易受到攻击吗?
答案 0 :(得分:0)
从表面上看,它不会使您的网站安全性降低,因为您只是从外部受感染的数据源请求数据。
但是,如果包含API数据源,黑客可以通过API发送数据,您可能会将数据保存到数据库或显示在您的网站上,因此黑客可能会将恶意脚本插入您的数据库或造成一些声誉受损发送您将在您的网站上显示的各种垃圾数据(咒骂词,广告色情网站等)。
一般而言,您添加到任何系统(现实生活或虚拟)的复杂性越多,它可被利用的方式就越多,因此在向代码库引入任何库或依赖项之前做一些功课总是好的。
修改的 为了补充上述内容,OWASP通过使用受损的API来解决所有风险,从而做得很好。 https://www.owasp.org/index.php/Top_10_2017-A9-Using_Components_with_Known_Vulnerabilities
答案 1 :(得分:0)
目标攻击是可能的,但不太可能。当您使用API时,您正在向某个服务器发出请求,该服务器本身会向该服务器提供有关您是谁以发送响应的信息。有了这个,黑客可以使用该信息尝试并向您的地址发送攻击。这可以通过使用您的外部程序/脚本的地址,或通过发送恶意信息作为响应而不是预期的方式来完成。
尽管出于多种原因,但这种情况极不可能发生。主要原因是,为什么黑客特意针对您控制另一个实体,他们的API,然后攻击你?黑客更有可能尝试访问API所有者的数据库并利用其中的信息,而不是针对使用其API的人。
所以是的,如果黑客获得了您使用的API的访问权限,那么他们也有可能对您进行有针对性的攻击。请注意,与您联系的任何外国实体存在这种机会。提供有关您是谁以及您所在位置的实体信息将始终产生一些攻击机会。