API 和 MongoDB 安全提示

今天阅读的文章的简要总结。

攻击API的方法以及如何防御

• 使用基础级加密，使功能能够按预期运行，但模糊数据之间的关系，以防止逆向工程。
• 为了防范欺骗攻击，您可以对所有传输中的流量进行加密。这样可以确保捕获到的只是“噪声”。另一种方法是设置一个预配置的、API 信任的服务器证书，并且只有在证书验证通过后才允许握手。您还可以尝试使用双因素身份验证来防止用户发起的攻击。
• 确保会话管理得当。务必在用户空闲超时或注销后，使会话失效。您应该设置会话生命周期，使其在特定时间点终止。
• 通过使用选择加入的启发式系统来强制执行 API 级别的安全性，以便了解用户何时来自未知机器、未知位置，或者已知行为是否存在任何其他变化。 

全文请点击此处阅读，阅读时间约11分钟。

MongoDB 安全最佳实践

• MongoDB 默认情况下未启用访问控制。您必须启用它。此外，还需要配置 RBAC（基于角色的访问控制）。
• 配置传输层安全协议，对所有进出数据库的流量进行加密。
• 使用静态加密来保护数据库内容，以防有人能够复制数据库文件（例如在备份中）或服务器映像。
• 限制网络暴露，以加强托管 MongoDB 数据库的网络拓扑的安全性。
• 请使用官方的 MongoDB 软件包仓库。确保这些软件包是官方的 MongoDB 软件包，并且通过了真实性检查。
• 尽可能禁用 JavaScript 执行。一些敏感的操作符——例如$where、mapReduce 和 group——可能极其危险。

全文请点击此处阅读，阅读时间约7分钟。

2020年网络安全五大预测

• 撞库攻击，即黑客从一个网站窃取登录凭证，然后使用相同的凭证入侵用户在其他网站上的帐户，仍将是一种容易实施的攻击。
• 由于无法兑现承诺，以人工智能为核心的检测产品将会失去热度。
• 加州消费者保护法（CCPA）将对许多科技公司的数据隐私保护措施产生重大影响。
• 由于自动驾驶汽车的系统无法跟上该领域不断演变的威胁，因此针对自动驾驶汽车的网络安全漏洞将会增加。
• 您将被要求在公司内部开展分配所有权和责任的运营工作，以确保数据法律、法规、规范和最佳实践到位，从而提高网络安全。

全文请点击此处阅读，阅读时间约4分钟。

订阅我的新闻简报，即可在每个工作日直接在您的收件箱中收到这些笔记。