在五月初，健身企業(yè)Peloton表示他們客戶(hù)的賬戶(hù)數(shù)據(jù)被暴露在互聯(lián)網(wǎng)上。任何人都能從Peloton的服務(wù)器接入用戶(hù)賬戶(hù)數(shù)據(jù)——即使這些用戶(hù)將他們的賬戶(hù)設(shè)置為“隱私”。而其原因則是某個(gè)出現(xiàn)問(wèn)題的API許可了未經(jīng)認(rèn)證的請(qǐng)求。

API可以實(shí)現(xiàn)簡(jiǎn)單的機(jī)器對(duì)機(jī)器的交流。API使用最近呈爆炸性增長(zhǎng)。根據(jù)Akamai的調(diào)查，API交互已經(jīng)占所有互聯(lián)網(wǎng)流量的83%。

API也導(dǎo)致了大量的安全問(wèn)題。除了Peloton之外，其他涉及API安全問(wèn)題的企業(yè)包括Equifax、Instagram、Facebook、Amazon和Paypal。

API的使用和攻擊都在增加

根據(jù)Salt Security在2月發(fā)布的報(bào)告，91%的企業(yè)在去年有API相關(guān)的安全問(wèn)題。大部分安全問(wèn)題為漏洞(54%)，其次為認(rèn)證問(wèn)題(46%)、bots自動(dòng)化威脅(20%)、以及DoS攻擊(19%)。

80%的組織不相信他們的安全工具可以有效防范API攻擊。Salt Security的調(diào)研發(fā)現(xiàn)，三分之二的企業(yè)在減緩新應(yīng)用的生產(chǎn)速度，原因就是API安全的考量。而Salt Security自身的客戶(hù)，即使所有企業(yè)都部署了WAF和API網(wǎng)關(guān)，依然每個(gè)月都會(huì)經(jīng)歷數(shù)次API攻擊——意味著API攻擊已經(jīng)繞過(guò)了這些安全工具。事實(shí)上，根據(jù)Salt的研究，WAF和API網(wǎng)關(guān)會(huì)遺漏OWASP十大API安全威脅中90%的情況。

然而，超過(guò)四分之一的組織在沒(méi)有安全策略的情況下運(yùn)行著基于API的關(guān)鍵應(yīng)用。以Peloton為例，最開(kāi)始就通過(guò)API將用戶(hù)數(shù)據(jù)在沒(méi)有認(rèn)證的情況下對(duì)任何人、任何地點(diǎn)都允許接入。新思安全研究中心的首席安全策略官Tim Mackey表示：“Peloton保護(hù)他們API的第一步，是現(xiàn)在訂閱人員的接入，但這依然意味著其他用戶(hù)還是能夠無(wú)視隱私設(shè)置對(duì)其他用戶(hù)的信息進(jìn)行接入。這些信息包括了用戶(hù)的年齡、性別、頭像、以及一些活動(dòng)數(shù)據(jù)。”

造成泄漏的API并不少見(jiàn)。根據(jù)Salt Security的報(bào)告，82%的組織對(duì)自己是否知道API信息毫無(wú)信心;他們無(wú)法確定這些API是否包括客戶(hù)個(gè)人網(wǎng)絡(luò)信息、受保護(hù)的健康信息、持卡人數(shù)據(jù)等個(gè)人可識(shí)別信息。同時(shí)，還有22%的組織表示他們不知道如何發(fā)現(xiàn)哪些API在暴露敏感數(shù)據(jù)。

Traceable的安全研究工程師Roshan Piyush認(rèn)為，Peloton的問(wèn)題在于他們使用了未經(jīng)認(rèn)證的API，從而導(dǎo)致了對(duì)象級(jí)別的認(rèn)證問(wèn)題。其他有同樣問(wèn)題的企業(yè)還有Panera、Fiserv、LifeLock和Kay Jewelers，而且這份名單還在增加。Roshan認(rèn)為，在開(kāi)發(fā)過(guò)程當(dāng)中，認(rèn)證和授權(quán)保護(hù)往往會(huì)被忽略。

一個(gè)銀行的API成長(zhǎng)史

某中型規(guī)模金融機(jī)構(gòu)的安全技術(shù)經(jīng)理Jeff表示，他們企業(yè)在過(guò)去的數(shù)月中，對(duì)API的使用急速增長(zhǎng)。如今，API已經(jīng)連接了3,000多個(gè)終端，包括企業(yè)的內(nèi)部應(yīng)用、屬于是商業(yè)伙伴的應(yīng)用，以及面對(duì)客戶(hù)的網(wǎng)站和移動(dòng)設(shè)備。

而這僅僅是開(kāi)始。Jeff提到：“我們現(xiàn)在在五年計(jì)劃的第二年，而在未來(lái)三年這個(gè)進(jìn)程會(huì)進(jìn)一步加速。我們16個(gè)月以前來(lái)了新的CISO，而他有很強(qiáng)的API開(kāi)發(fā)背景，因此他必然會(huì)進(jìn)行加速。”

Jeff表示，他們現(xiàn)在還只是在做準(zhǔn)備工作：“我們肯定是在正確的道路上。我們現(xiàn)在正在消除所有部署的數(shù)據(jù)中心，并且轉(zhuǎn)移到網(wǎng)站服務(wù)商，同時(shí)用API連接所有東西”。

Jeff提到，API會(huì)從四個(gè)主要的URL地址調(diào)用，各有不同的服務(wù)以及不同的參數(shù)。這種方式能形成一層保護(hù)。Jeff說(shuō)到：“由于API的風(fēng)險(xiǎn)性，我們故意混淆了一些我們API終端的名字，使得橫向攻擊或者嗅探更加難以實(shí)現(xiàn)。”該金融機(jī)構(gòu)也在過(guò)去六個(gè)月將多個(gè)API網(wǎng)關(guān)合并到一個(gè)主要網(wǎng)關(guān)中。

公司的API網(wǎng)關(guān)使用了Apigee，該API安全廠(chǎng)商在2016年被谷歌收購(gòu)。

一些企業(yè)會(huì)對(duì)所有開(kāi)發(fā)者都使用一個(gè)網(wǎng)關(guān)產(chǎn)生一些顧慮，比如擔(dān)心潛在的生產(chǎn)瓶頸、單點(diǎn)故障、或者DDoS攻擊等。但Jeff認(rèn)為他的組織不會(huì)有這個(gè)問(wèn)題：“我們的開(kāi)發(fā)人員會(huì)偏向使用API網(wǎng)關(guān)的方式。該解決方案是通過(guò)SaaS提供，本身能跨多個(gè)地點(diǎn)，從而給開(kāi)發(fā)人員更好的接入體驗(yàn)，降低延遲。因?yàn)镾aaS能夠自動(dòng)延展，它不像傳統(tǒng)的API網(wǎng)關(guān)那樣有所限制。”

舉例而言，如果一個(gè)AP接口之前預(yù)計(jì)一個(gè)月要進(jìn)行1,000萬(wàn)次處理，但是在它上線(xiàn)的前兩周就有了2億次處理——而事實(shí)上，使用者并沒(méi)有感到任何延遲，或者性能的降級(jí)?，F(xiàn)在，產(chǎn)線(xiàn)每個(gè)月會(huì)有20億次的API調(diào)用，而兩年前只有8,000萬(wàn)次。

在認(rèn)證方式上，該公司的移動(dòng)和網(wǎng)站應(yīng)用使用更老的Java技術(shù)。Jeff表示，他們正在將這些全部都通過(guò)一個(gè)軟件開(kāi)發(fā)工具組移到一個(gè)基于API的認(rèn)證環(huán)境;這現(xiàn)在是他們的關(guān)鍵部分，正在和多個(gè)部門(mén)進(jìn)行協(xié)同。

這個(gè)新的解決方案改變了企業(yè)防范基于信用的攻擊的方式。對(duì)于外部合作伙伴，該公司正在推進(jìn)API調(diào)用的零信任模型。Jeff表示：“雖然說(shuō)我們想加速這個(gè)進(jìn)程，但是有一部分合作伙伴并沒(méi)有準(zhǔn)備好。”

對(duì)于通過(guò)網(wǎng)站或者移動(dòng)應(yīng)用接入的消費(fèi)者，會(huì)有一定的持久性;這意味著消費(fèi)者不用多次進(jìn)行驗(yàn)證。但是，Jeff卻提到：“我們的零信任模型表示我們不會(huì)允許任何對(duì)話(huà)有持久性，或者支持任何形式的cookie維持狀態(tài)。用戶(hù)需要每次都進(jìn)行驗(yàn)證。我用一個(gè)最基礎(chǔ)的理念來(lái)說(shuō)：安全、便利、快速，你可以實(shí)現(xiàn)兩項(xiàng)，但是無(wú)法三項(xiàng)都做到。”

而對(duì)于在公司安全邊界內(nèi)的API，就有另一種解決方案。“當(dāng)API在內(nèi)部的時(shí)候，我們就傾向于使用一些更輕量化的非零信任方案。”Jeff說(shuō)到，“我們會(huì)用IP安全，基于流量的目標(biāo)地址、服務(wù)賬戶(hù)進(jìn)行認(rèn)證，會(huì)更基于活動(dòng)目錄進(jìn)行。”

行為分析也同樣被使用，進(jìn)行內(nèi)部和外部的可疑行為監(jiān)測(cè)，并自動(dòng)化過(guò)濾明顯的惡意信息。“能在前門(mén)就將麥子和谷殼分開(kāi)，能讓我們更聚焦于期望見(jiàn)到的‘好’調(diào)用。行為分析本身也是現(xiàn)實(shí)進(jìn)行的交互行為。我們會(huì)使用所有從IP信譽(yù)庫(kù)、行為分析、用戶(hù)和賬戶(hù)畫(huà)像的方式。”Jeff說(shuō)到，“假如我們有一個(gè)用戶(hù)每周五都進(jìn)行一次200美元的存款，而現(xiàn)在開(kāi)始每周三存款800美元了;我們會(huì)開(kāi)始觀察這個(gè)行為。這不僅僅是保護(hù)我們自己的資產(chǎn)，也是確保我們能夠主動(dòng)報(bào)告潛在的洗錢(qián)和人口拐賣(mài)行為。”

通過(guò)自動(dòng)化能力，該供公司能夠?qū)⑺瓦_(dá)到它SOC和安全事件響應(yīng)團(tuán)隊(duì)的事件數(shù)量降低35%。為了實(shí)現(xiàn)這一點(diǎn)，一年多以前NOC和CSIRT團(tuán)隊(duì)使用了Salt Security的解決方案，和Apigee API網(wǎng)關(guān)一起共享流量。

“這個(gè)解決方案能看到所有到達(dá)我們最高等級(jí)API的流量，然后進(jìn)行學(xué)習(xí)，從而給我們潛在的攻擊者信息，以及改進(jìn)代碼的建議。”

其他團(tuán)隊(duì)也啟用了相關(guān)平臺(tái)，包括反詐團(tuán)隊(duì)、開(kāi)發(fā)團(tuán)隊(duì)、和安全架構(gòu)團(tuán)隊(duì)。Jeff表示，這也讓他們加速了API遷移的進(jìn)程。

針對(duì)API的機(jī)器人攻擊

API流量在增加，但惡意API流量增長(zhǎng)得更快。Salt Security客戶(hù)的每月API調(diào)用流量增長(zhǎng)了51%，而惡意流量增長(zhǎng)了211%。

基于Akamai對(duì)于100家包括金融服務(wù)機(jī)構(gòu)、零售、媒體、和娛樂(lè)行業(yè)的企業(yè)客戶(hù)的每月API數(shù)據(jù)分析，發(fā)現(xiàn)有7,440億API調(diào)用，12%來(lái)自已知惡意因素，25%來(lái)自非網(wǎng)站瀏覽器、移動(dòng)設(shè)備、或者應(yīng)用的終端客戶(hù)——意味著這些流量也可能來(lái)自惡意人員，而非正常用戶(hù)。

安永的網(wǎng)絡(luò)安全管理主任Rishi Pande表示，傳統(tǒng)的前端應(yīng)用，比如網(wǎng)站和移動(dòng)應(yīng)用，會(huì)對(duì)攻擊有一定防御能力。這些防御能力可以防范DDoS、撞庫(kù)、和一些其他自動(dòng)化攻擊。“你的前端或許被保護(hù)了，但如果API網(wǎng)關(guān)沒(méi)有被保護(hù)，那很快就會(huì)出現(xiàn)問(wèn)題。”Pande說(shuō)到。這個(gè)領(lǐng)域演化得很快，但一些客戶(hù)會(huì)以為相關(guān)技術(shù)提供了保護(hù)，但是實(shí)際上這些工具并沒(méi)完全準(zhǔn)備好。

而撞庫(kù)問(wèn)題并不只是隨著API出現(xiàn)的。事實(shí)上，根據(jù)Cequence Security的攻防專(zhuān)家Jason Kent的看法，針對(duì)API層的攻擊正在越來(lái)越多，因?yàn)檫@種攻擊匿名性更強(qiáng)，同時(shí)API并不像網(wǎng)站的移動(dòng)應(yīng)用那樣被保護(hù)得那么好。Kent有一次通過(guò)倉(cāng)庫(kù)大門(mén)公司API的設(shè)計(jì)問(wèn)題，成功打開(kāi)了倉(cāng)庫(kù)大門(mén)。他提到：“在標(biāo)準(zhǔn)的網(wǎng)站安全中，會(huì)有在客戶(hù)端側(cè)的額外代碼運(yùn)行，從而知道在操作的是人還是機(jī)器。但在API使用中，我們完全放棄了這一套人機(jī)識(shí)別。我們能夠頻繁發(fā)起你能想象到的最快速的攻擊。”

Kent認(rèn)為，現(xiàn)在API安全的處境就像2009年應(yīng)用安全的情況一樣。他成功破解倉(cāng)庫(kù)大門(mén)API的方式是查看其移動(dòng)應(yīng)用。“你從應(yīng)用商店下載的應(yīng)用只是一堆被解壓縮的文件夾和文件。”他說(shuō)到，“它會(huì)包含所有它進(jìn)行溝通的API終端名單。”

一旦攻擊者獲得了移動(dòng)應(yīng)用，并明白它是如何交互的 ，攻擊者就可以使用同樣的API頻道發(fā)送請(qǐng)求。Kent認(rèn)為，人工智能和機(jī)器學(xué)習(xí)可以防御這類(lèi)攻擊，因?yàn)閬?lái)自機(jī)器人的API請(qǐng)求和真人使用正規(guī)應(yīng)用的方式是不同的。

該左移了

Postman的2020年API報(bào)告調(diào)研了13,500名開(kāi)發(fā)者，只有36%的公司為他們的API做安全測(cè)試——相比而言，有70%的公司做了功能性測(cè)試，67%做集成測(cè)試。而根據(jù)SmartBear的2020年API報(bào)告，可用性是開(kāi)發(fā)者對(duì)API的最大考慮，其次是功能，而安全只在第三位。

部分原因是因?yàn)殚_(kāi)發(fā)團(tuán)隊(duì)往往和安全團(tuán)隊(duì)是分開(kāi)的，同樣也和網(wǎng)絡(luò)以及架構(gòu)團(tuán)隊(duì)分開(kāi)。“這個(gè)問(wèn)題的解決方法就是DevSecOps。”Capgemini North America的高級(jí)網(wǎng)絡(luò)安全經(jīng)理Albert Whale如是說(shuō)，“我們現(xiàn)在能夠集成測(cè)試，然后將這種測(cè)試的能力交給應(yīng)用開(kāi)發(fā)者掌控。我們能夠讓每個(gè)人都成為安全團(tuán)隊(duì)的一員。”

Whale認(rèn)為，從一開(kāi)始就創(chuàng)建更為安全的應(yīng)用，要比試圖在最后通過(guò)API網(wǎng)關(guān)等技術(shù)進(jìn)行保護(hù)要重要得多。“我將API網(wǎng)關(guān)視為一個(gè)單點(diǎn)故障點(diǎn)。”他說(shuō)，“它會(huì)降低應(yīng)用的速度，因?yàn)樗仨毷占械男畔?。這不是說(shuō)API網(wǎng)關(guān)很可怕，但是它們就像WAF一樣實(shí)現(xiàn)他們的功能;但是除了有時(shí)候需要使用它們，也有時(shí)候需要限制。”

Whales提到，企業(yè)應(yīng)該注重與更好的架構(gòu)、安全和API調(diào)用：：“企業(yè)會(huì)花更長(zhǎng)的時(shí)間去實(shí)現(xiàn)這些，但是擁有更好代碼的應(yīng)用才是真正需要的防護(hù)。當(dāng)你有一個(gè)足夠能夠抵御攻擊的應(yīng)用的時(shí)候，顯然你不需要額外的因素來(lái)提供更多安全能力。”

網(wǎng)絡(luò)安全研究公司Securosis的分析師兼總經(jīng)理Mike Rothman也同意，開(kāi)發(fā)者正在越來(lái)越注重安全。“我們看到DevSec正在讓更多的人進(jìn)行合作。”他說(shuō)，“這種情況總是會(huì)發(fā)生嗎?未必。但是我們正在試圖打破許多原有的固化思維以及溝通壁壘，讓團(tuán)隊(duì)都一起合作。”

Rothman提到，當(dāng)涉及API安全相關(guān)的時(shí)候，就有多個(gè)領(lǐng)域的隱患。首先是業(yè)務(wù)邏輯。“這是我無(wú)法告訴你我們是否處理正確的應(yīng)用安全關(guān)鍵領(lǐng)域之一。”當(dāng)一個(gè)整體化的應(yīng)用被通過(guò)用API連接的方式分成多個(gè)小型服務(wù)的時(shí)候，對(duì)發(fā)現(xiàn)和緩解邏輯業(yè)務(wù)邏輯隱患的要求也極大提升了。應(yīng)用也許會(huì)像設(shè)計(jì)得那樣運(yùn)作，認(rèn)證機(jī)制也在完美地進(jìn)行，甚至應(yīng)用本身可能完全沒(méi)有漏洞，但是如果編程邏輯里出現(xiàn)問(wèn)題，依然會(huì)產(chǎn)生泄露事件。

然后就是一系列需要注意的漏洞。在2019年發(fā)布的OWASP十大API漏洞，已經(jīng)兩年沒(méi)有變化了。Rothman表示：“我們一直都在重復(fù)相同的錯(cuò)誤。然后我們需要從多個(gè)層面對(duì)環(huán)境 進(jìn)行保護(hù)——傳統(tǒng)的網(wǎng)絡(luò)技術(shù)、以及傳統(tǒng)的應(yīng)用安全技術(shù)。”

最后，企業(yè)也需要注意工具、自動(dòng)化、掃描技術(shù)、以及遙測(cè)監(jiān)控，因?yàn)橛肋h(yuǎn)不會(huì)有足夠的人員手動(dòng)監(jiān)測(cè)API。“我們需要權(quán)衡我們有的資源，而人員顯然不是。”Rothman說(shuō)到，“通過(guò)監(jiān)控來(lái)看API是如何被調(diào)用的，可以尋找可能標(biāo)志著惡意使用的非正常行為。”

倉(cāng)庫(kù)公司獲得API安全可視化能力

開(kāi)發(fā)者現(xiàn)在非常容易就能夠啟用一個(gè)網(wǎng)站服務(wù)，然后設(shè)置API。不過(guò)每一項(xiàng)新技術(shù)的產(chǎn)生，安全總是滯后的。

即使所有的開(kāi)發(fā)者都配備了信的安全控制，但還是可能會(huì)有老系統(tǒng)的存在。這些過(guò)時(shí)的僵尸API有著極大的風(fēng)險(xiǎn)，因?yàn)锳PI應(yīng)該是使用期短卻從不會(huì)被停止使用。

“你無(wú)法保護(hù)你不知道的東西。”倉(cāng)庫(kù)公司Prologis的安全主任Tyler Warren說(shuō)到，“看著市面已有的API解決方案，你得先知道你有什么才能去保護(hù)它。這已經(jīng)不是一個(gè)新手任務(wù)了，因?yàn)槲覀兊谝粌?yōu)先的工作任務(wù)是發(fā)現(xiàn)我們有什么。”

Warren作為Prologis的API安全項(xiàng)目負(fù)責(zé)人，表示他們公司在四年前開(kāi)始開(kāi)發(fā)面向顧客的系統(tǒng)。“我們擁有大約10億平方英尺的土地，在19個(gè)國(guó)家有大約5,000個(gè)倉(cāng)庫(kù)。”他說(shuō)到，“當(dāng)人們聽(tīng)說(shuō)你是一個(gè)倉(cāng)庫(kù)公司的時(shí)候，他們會(huì)說(shuō)：‘你們和高科技能有什么聯(lián)系?’但是管理層的決策是，技術(shù)驅(qū)動(dòng)業(yè)務(wù)，而非一個(gè)成本的堆積。”

因此，Prologis開(kāi)始改變。四年前，倉(cāng)庫(kù)的思維模式是：“這是你的四面墻和屋頂，這是你的鑰匙，過(guò)幾年等你要續(xù)租的時(shí)候再來(lái)找我們。”

現(xiàn)在，有了基于云的Prologis Essential平臺(tái)，能夠讓客戶(hù)提交服務(wù)單或者檢查收據(jù)狀況;但更重要的是，可以和當(dāng)?shù)毓?yīng)商聯(lián)系，在有人入駐新倉(cāng)庫(kù)的時(shí)候獲得蟲(chóng)害控制、叉狀抓爪、照明燈其他產(chǎn)品和服務(wù)。

鑒于這是一個(gè)全新的服務(wù)，沒(méi)有之前的系統(tǒng)可以參考，Prologis開(kāi)始使用基于云的無(wú)服務(wù)器架構(gòu)。“我們直接跳過(guò)了容器。”Warren說(shuō)到，“我們幾乎完全是無(wú)服務(wù)器的，主要是用Amazon和其Lambda服務(wù)。”

Prologis Essentials使用AWS的API網(wǎng)關(guān)，有15個(gè)API接口服務(wù)500個(gè)終端，包括內(nèi)部連接和外部合作伙伴的集成。上個(gè)月，系統(tǒng)處理了52.9萬(wàn)次API請(qǐng)求。

不過(guò)，Warren發(fā)現(xiàn)AWS并不提供太多API的行為信息。“AWS自身并不會(huì)給你這些信息。”Warren表示，“我們嘗試了一些以前的方式，但是WAF無(wú)法實(shí)現(xiàn)這個(gè)效果。WAF雖然能給你一點(diǎn)保護(hù)，但是也僅此而已了。”

Warren試圖去尋找易于部署的技術(shù)，并且需要該技術(shù)不會(huì)給開(kāi)發(fā)團(tuán)隊(duì)造成麻煩。“如果你把關(guān)系搞砸了，那麻煩就來(lái)了。”他說(shuō)，“如果你是那種喜歡說(shuō)‘不’的安全人員，那開(kāi)發(fā)人員就會(huì)饒過(guò)你。因此，解決方案需要符合他們的工作流，并且不會(huì)給他們?cè)黾宇~外的工作 。”

Prologis同樣選擇了Salt Security。他們?cè)居?jì)劃2021年全面展開(kāi)項(xiàng)目，但是最終從2020年就開(kāi)始著手。“API攻擊面越來(lái)越值得注意。”Warren提到，“那些壞人已經(jīng)發(fā)現(xiàn)了很多攻擊面。”

Salt Security花了大約一個(gè)月的時(shí)間將自己的解決方案嵌入Essentials系統(tǒng)。“大部分工作都是測(cè)試。”Warren說(shuō)，“同時(shí)確保開(kāi)發(fā)者同意這些改變，不會(huì)對(duì)性能產(chǎn)生影響。”

Salt Security的工具位于AWS環(huán)境，并且從API網(wǎng)關(guān)獲取流量、抓取日志和元數(shù)據(jù)、再傳送給Salt的SaaS顯示板進(jìn)行告警和報(bào)告。“我一開(kāi)始猜測(cè)我們有100個(gè)API終端。”Warren說(shuō)到，“但最后發(fā)現(xiàn)我們有500個(gè)。一般而言，我覺(jué)得我了解網(wǎng)絡(luò)上在發(fā)生什么，但我這次顯然錯(cuò)得離譜。這是行業(yè)里的一個(gè)通病——人們總是少估了他們有的東西。”

系統(tǒng)最終在去年秋天上線(xiàn)運(yùn)行。它能夠和WAF連接，并且自動(dòng)化處罰行動(dòng)。現(xiàn)在，它會(huì)將報(bào)告發(fā)給安全人員手動(dòng)閱覽。“我最不想做的事，就是阻斷了合法流量。”Warren提到。

該系統(tǒng)也會(huì)檢查是否存在潛在的個(gè)人信息泄露情況。比如，Warren有一次被告警，因?yàn)锳WS私鑰可能產(chǎn)生泄露，雖然最終發(fā)現(xiàn)這是一次誤報(bào)。Warren解釋?zhuān)?ldquo;我們有些賬戶(hù)數(shù)字看上去像AWS私鑰，但這只是一個(gè)巧合。”

這個(gè)系統(tǒng)還發(fā)現(xiàn)有些API提供必要之外的信息。“雖然說(shuō)郵箱和賬戶(hù)數(shù)字的組合并不一定會(huì)是敏感信息。”Warren表示，“但我需要的是‘如果不是絕對(duì)需要，就不要做’。”這條建議，應(yīng)該是某個(gè)使用API的企業(yè)都需要遵守的。

點(diǎn)評(píng)

當(dāng)應(yīng)用接口越來(lái)越多的時(shí)候，API的使用風(fēng)險(xiǎn)就必然會(huì)增加，攻擊者就會(huì)開(kāi)始頻繁使用API的漏洞進(jìn)行攻擊。API的安全性也自然而然會(huì)被更多的人重視。今年的ISC創(chuàng)新獨(dú)角獸沙盒大賽也體現(xiàn)了這一點(diǎn)，冠軍的獲得者星闌科技正是致力于API安全的企業(yè)。可以說(shuō)，API安全已經(jīng)是廠(chǎng)商開(kāi)始關(guān)注的焦點(diǎn)區(qū)域之一。