Angenommen, ich habe eine Website, die Daten von Constant Contact oder Mailchimp über ihre API bezieht. Aus irgendeinem Grund wird eine dieser Websites gehackt. Ist meine Website jetzt anfälliger für einen Angriff, da ich über eine API verbunden bin?Ist meine Website anfälliger, wenn die API-Website gehackt wird?
Es hängt davon ab, von welcher Website Sie Daten abrufen und wofür Sie sie verwenden.
Normalerweise. Nein, aber manchmal ja. Wenn Sie E-Mail-APIs verwenden. Dann sollte es in Ordnung sein
Gut auf der Oberfläche macht es Ihre Website nicht weniger sicher, da Sie nur Daten von einer externen kompromittierten Datenquelle anfordern. Wenn jedoch die API-Datenquelle enthalten ist, könnten die Hacker Daten über die API senden, die Sie in Ihrer Datenbank speichern oder auf Ihrer Website anzeigen könnten. Hacker könnten daher möglicherweise schädliche Skripts in Ihre Datenbank einfügen oder Reputationsschäden verursachen durch das Senden aller Arten von Mistdaten (Schimpfwörter, Werbung für Pornoseiten usw.), die Sie auf Ihrer Website anzeigen werden.
Je mehr Komplexität Sie einem System (real oder virtuell) hinzufügen, desto mehr Möglichkeiten können Sie ausnutzen. Daher ist es immer gut, einige Hausaufgaben zu machen, bevor Sie eine Bibliothek oder Abhängigkeiten zu Ihrer Codebasis einführen.
EDIT die oben hinzuzufügen OWASP die Risiken machen einen großartigen Job alle durch Auslegen mit einem geschwächten API. https://www.owasp.org/index.php/Top_10_2017-A9-Using_Components_with_Known_Vulnerabilities
Ein gezielter Angriff wäre möglich, aber unwahrscheinlich. Wenn Sie eine API verwenden, stellen Sie Anfragen an einen Server, der diesem Server Informationen darüber gibt, wer Sie sind, um eine Antwort zurückzusenden. Damit könnte ein Hacker diese Informationen verwenden, um einen Angriff auf Ihre Adresse zu senden. Dies könnte geschehen, indem Sie entweder Ihre Adresse für ein externes Programm/Skript verwenden oder indem Sie bösartige Informationen als Antwort zurückschicken, statt wie vorgesehen.
Dieses gesamte Szenario ist jedoch sehr unwahrscheinlich, obwohl es aus vielen Gründen jemals auftreten wird. Der Hauptgrund ist, warum würde ein Hacker, der speziell auf Sie abzielt, Schwierigkeiten bekommen, die Kontrolle über eine andere Entität, ihre API, zu übernehmen und Sie dann anzugreifen? Es ist viel wahrscheinlicher, dass der Hacker versucht, Zugriff auf die Datenbank des API-Besitzers zu erhalten und die dort vorhandenen Informationen zu nutzen, anstatt die Zielgruppe mit ihrer API anzusprechen.
Wenn also ein Hacker Zugang zu einer API erhält, die er benutzt, besteht die Gefahr, dass er auch einen gezielten Angriff auf Sie durchführen könnte. Beachten Sie, dass diese Möglichkeit bei jeder fremden Entität besteht, mit der Sie sich verbinden. Die Bereitstellung einer Entitätsinformation darüber, wer du bist und wo du bist, wird immer eine Chance auf einen Angriff schaffen.
Was meinst du mit "Angriff"? Würde der Hacker Daten ändern, von denen Sie einen Angriff ableiten, oder definieren Sie einen Angriff als Hacker, der spezifisch auf Ihre Website abzielt? – yanman1234
Ich mache mir Sorgen, dass ein Hacker speziell auf meine Website abzielt. – Jeff