20多年的開發(fā)部署后，API已經(jīng)到處都是。2021年的調(diào)查研究中，73%的企業(yè)表示自己已經(jīng)發(fā)布了超過50個(gè)API，且這一數(shù)字還在不斷增長。

API在當(dāng)今幾乎每個(gè)行業(yè)里都起著舉足輕重的作用，而且隨著它們逐漸邁向業(yè)務(wù)戰(zhàn)略前沿，其重要性還在平穩(wěn)上升。出現(xiàn)這種現(xiàn)象其實(shí)毫不意外：API無縫連接不同應(yīng)用和設(shè)備，帶來前所未有的業(yè)務(wù)協(xié)同效應(yīng)和效率。

[[416116]]

但是，與軟件任何其他組件一樣，API也免不了存在漏洞?；诖?，如果沒有經(jīng)過間隔的安全測(cè)試，API也有可能引入全新的攻擊途徑，將用戶暴露在前所未有的風(fēng)險(xiǎn)之下。坐等生產(chǎn)部門發(fā)現(xiàn)API漏洞是不現(xiàn)實(shí)的，你只會(huì)等來嚴(yán)重延遲。

API不僅受廣大企業(yè)青睞，也是攻擊者眼中的香餑餑

API可不僅僅是簡(jiǎn)單連接企業(yè)各種應(yīng)用，它們還會(huì)以無法預(yù)測(cè)的方式改變功能。API可能引入的很多獨(dú)特缺陷都廣為黑客所知，他們開發(fā)出不同方法攻擊API，從而訪問底層數(shù)據(jù)和功能。

開放Web應(yīng)用安全項(xiàng)目(OWASP)的API Top 10表明，通過身份驗(yàn)證的合法用戶利用API漏洞的情況并不鮮見，此類用戶利用看似合法的調(diào)用，實(shí)際上卻意圖篡改API。這種攻擊旨在篡改業(yè)務(wù)邏輯并利用設(shè)計(jì)缺陷，對(duì)攻擊者極具吸引力。

每個(gè)API都是獨(dú)特且專有的。因此，其軟件漏洞也是獨(dú)特且“未知”的。防御者很難發(fā)現(xiàn)這類可導(dǎo)致業(yè)務(wù)邏輯或業(yè)務(wù)過程級(jí)攻擊的漏洞。

圖1：業(yè)務(wù)邏輯漏洞和傳統(tǒng)漏洞

是否給予了API安全測(cè)試足夠的重視?

左移安全已廣為多數(shù)企業(yè)接受，整個(gè)開發(fā)過程貫穿持續(xù)測(cè)試的做法已成常規(guī)。然而，API安全測(cè)試常被漏掉，或者執(zhí)行時(shí)缺乏對(duì)所涉風(fēng)險(xiǎn)的重復(fù)理解。為什么會(huì)這樣?原因不止一個(gè)：

• 現(xiàn)有應(yīng)用安全測(cè)試工具是通用型，目標(biāo)檢出對(duì)象是傳統(tǒng)Web應(yīng)用漏洞，無法有效處理API的業(yè)務(wù)邏輯復(fù)雜性。
• 由于API沒有用戶界面，企業(yè)通常需要單獨(dú)測(cè)試Web、應(yīng)用和移動(dòng)端，但不測(cè)試API本身。
• API測(cè)試可能很是耗費(fèi)人工，在擁有幾百個(gè)API時(shí)是無法擴(kuò)展的。
• 由于API測(cè)試比其他測(cè)試類型更復(fù)雜，企業(yè)可能缺乏相關(guān)經(jīng)驗(yàn)和專業(yè)技能。
• 無法確知已經(jīng)部署了哪些老舊API，或者找不到老舊API的文檔。

因此，盡管左移安全已普遍受到大多數(shù)企業(yè)重視，但API安全測(cè)試卻常被排除在DevSecOps藍(lán)圖之外。

這是個(gè)令人遺憾的狀況，因?yàn)橄啾葌鹘y(tǒng)應(yīng)用漏洞，API漏洞需要更長的響應(yīng)時(shí)間：近期一項(xiàng)調(diào)查中，63%的受訪者報(bào)告稱需要更長時(shí)間來修復(fù)API漏洞?？紤]到應(yīng)用對(duì)API的依賴和快速采用情況，這一數(shù)字可能還會(huì)繼續(xù)上升。

圖2：相比傳統(tǒng)應(yīng)用漏洞，存在API漏洞情況下的平均修復(fù)時(shí)間

雖然大多數(shù)安全主管都意識(shí)到了API安全測(cè)試的重要性，但仍有近一半的安全主管稱自己尚未將API安全測(cè)試解決方案完全集成進(jìn)開發(fā)流水線中。

為什么常規(guī)安全測(cè)試方法無法覆蓋API?

要實(shí)現(xiàn)全面的安全方法，第一步就是仔細(xì)考察當(dāng)前對(duì)于應(yīng)用安全測(cè)試的普遍態(tài)度：靜態(tài)安全測(cè)試和動(dòng)態(tài)安全測(cè)試。

靜態(tài)安全測(cè)試采用白盒測(cè)試方法，基于應(yīng)用的已知功能創(chuàng)建測(cè)試，審查應(yīng)用的設(shè)計(jì)、架構(gòu)或代碼，包括數(shù)據(jù)在流經(jīng)應(yīng)用時(shí)可采取的諸多復(fù)雜路徑。

動(dòng)態(tài)安全測(cè)試采用黑盒測(cè)試方法，基于應(yīng)用攝入特定輸入集的的預(yù)期性能創(chuàng)建測(cè)試，不考慮內(nèi)部處理或底層代碼知識(shí)。

至于API，開發(fā)人員和安全團(tuán)隊(duì)常常爭(zhēng)論這兩種方法哪種最適用，各自的支持理由包括：

• 靜態(tài)測(cè)試是唯一有效的方法：因?yàn)锳PI沒有用戶界面，你必須知道業(yè)務(wù)邏輯內(nèi)部在發(fā)生什么。
• 動(dòng)態(tài)測(cè)試才是我們所需要的：因?yàn)閱卧獪y(cè)試適用靜態(tài)模型，且在流水線的早期階段就已經(jīng)完成了。

雖然有點(diǎn)掃興，但以上兩種觀點(diǎn)都不完全正確。事實(shí)上，兩種方法都需要確保廣泛覆蓋和處理一系列可能的場(chǎng)景。尤其是隨著近期API攻擊的興起，防御者不能在可擴(kuò)展性、深度和頻率方面冒險(xiǎn)。

圖3：動(dòng)態(tài)API安全測(cè)試與靜態(tài)API安全測(cè)試

這種情況下，“灰盒”API安全測(cè)試成為了一個(gè)有趣的替代方案。因?yàn)闆]有用戶界面，知道應(yīng)用的內(nèi)部運(yùn)行機(jī)制(如參數(shù)、返回類型等)有助于高效創(chuàng)建針對(duì)業(yè)務(wù)邏輯的功能性測(cè)試。

理想狀態(tài)下，綜合考慮API安全測(cè)試的各個(gè)方面可以更好地創(chuàng)建灰盒解決方案，彌補(bǔ)單個(gè)方法的不足。此類業(yè)務(wù)邏輯方法可智能檢查其他測(cè)試類型的結(jié)果，并自動(dòng)或手動(dòng)調(diào)整應(yīng)用改進(jìn)的測(cè)試。

業(yè)務(wù)邏輯API安全測(cè)試方法

業(yè)界越來越意識(shí)到API安全防護(hù)應(yīng)貫穿整個(gè)API生命周期，將API置于安全控制的前端和中心。

為此，我們必須找到簡(jiǎn)化和彌合企業(yè)API安全測(cè)試的方法，將API安全測(cè)試標(biāo)準(zhǔn)融入開發(fā)周期并加以實(shí)施。這樣一來，在運(yùn)行時(shí)監(jiān)測(cè)的幫助下，安全團(tuán)隊(duì)就能夠在一個(gè)地方獲得對(duì)所有已知漏洞的可見性。并且，左移API安全測(cè)試還可以削減成本并加速修復(fù)。

此外，如果能夠自動(dòng)化測(cè)試工作流，企業(yè)就內(nèi)置了對(duì)重測(cè)試的支持：測(cè)試、修復(fù)、重測(cè)、部署的循環(huán)，保持流水線平穩(wěn)運(yùn)行，避免出現(xiàn)瓶頸。

采用業(yè)務(wù)邏輯方法執(zhí)行API安全測(cè)試可以提高全生命周期API安全計(jì)劃的成熟度，改善企業(yè)安全狀態(tài)。

圖4：生產(chǎn)到設(shè)計(jì)

然而，這種現(xiàn)代方法需要能自學(xué)習(xí)的工具，通過攝入運(yùn)行時(shí)數(shù)據(jù)逐漸改進(jìn)性能，從而深入了解應(yīng)用的結(jié)構(gòu)和邏輯。

這將涉及創(chuàng)建能夠隨運(yùn)行過程不斷學(xué)習(xí)的自適應(yīng)測(cè)試引擎，積累關(guān)于API行為的深入認(rèn)知，以便智能逆向工程其隱藏的內(nèi)部工作機(jī)制。借助運(yùn)行時(shí)數(shù)據(jù)和業(yè)務(wù)邏輯信息，企業(yè)能夠享受黑盒和白盒兩種方法帶來的好處，實(shí)現(xiàn)可見性增強(qiáng)和自動(dòng)化控制。

總結(jié)

除了逐漸普及，API也給Web應(yīng)用帶來了更多漏洞。許多企業(yè)甚至不清楚自身API應(yīng)用范圍和漏洞情況。黑客可以很容易地通過可用API探測(cè)已知和未知漏洞。

然而，企業(yè)常常忽視了API安全測(cè)試，像對(duì)待Web應(yīng)用一樣處理API安全測(cè)試。大多數(shù)測(cè)試方法，比如黑盒測(cè)試和白盒測(cè)試，并不適合API測(cè)試。

自然語言處理和人工智能(AI)的結(jié)合提供了可行“灰盒”選項(xiàng)，能夠自動(dòng)化、擴(kuò)展和簡(jiǎn)化API安全測(cè)試的復(fù)雜過程。