近日，全球最大的CDN服務(wù)商Akamai發(fā)布了一項(xiàng)針對(duì)應(yīng)用程序接口(API)不斷進(jìn)化的威脅形勢(shì)的研究，據(jù)信息技術(shù)研究和分析的公司Gartner稱，到2022年，API將成為最常見的在線攻擊媒介。

近年來，API作為在移動(dòng)互聯(lián)網(wǎng)時(shí)代中連接數(shù)據(jù)和應(yīng)用的重要通道，承載著越來越復(fù)雜的應(yīng)用程序邏輯和越來越多的敏感數(shù)據(jù)。正因如此，API也成為黑產(chǎn)的重點(diǎn)攻擊目標(biāo)，API遭受攻擊的事件屢見不鮮并影響巨大。

[[431991]]

API安全問題持續(xù)出現(xiàn)

盡管在系統(tǒng)生命周期(SDLC)和測試工具方面進(jìn)行了改進(jìn)，但該報(bào)告強(qiáng)調(diào)了API漏洞的令人沮喪的現(xiàn)狀。通常，在急于將API 安全推向市場的過程中，API 安全被降級(jí)為事后的考慮，并不被得到重視，許多組織依賴傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，這些解決方案并非能夠保護(hù) API 可能引入的廣泛攻擊。

Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報(bào)告》作者Steve Ragan指出:“從遭到破壞的身份驗(yàn)證和注入缺陷,到簡單的錯(cuò)誤配置,任何構(gòu)建聯(lián)網(wǎng)應(yīng)用程序的人都會(huì)面臨不計(jì)其數(shù)的API安全問題。企業(yè)無法充分檢測API攻擊,即使檢測到此類攻擊,也可能會(huì)被漏報(bào)。DDoS攻擊和勒索軟件都是企業(yè)關(guān)注的重要問題,而API攻擊并沒有得到同等程度的關(guān)注,這在很大程度上是因?yàn)?犯罪分子使用API發(fā)起的攻擊無法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動(dòng)效應(yīng),但這并不意味著應(yīng)該忽視API攻擊。”

企業(yè)并不總是能夠知曉API漏洞位于何處。例如,API經(jīng)常隱藏在移動(dòng)應(yīng)用程序中,導(dǎo)致人們認(rèn)為它們無法被犯罪分子操縱。開發(fā)人員假設(shè)用戶只會(huì)通過移動(dòng)用戶界面(UI)與API進(jìn)行交互,但正如本報(bào)告所指出的,情況并非如此。

Veracode首席研究官Chris Eng表示:“將OWASP十大漏洞與OWASP十大API安全漏洞進(jìn)行比較。后者聲稱體現(xiàn)了API的‘獨(dú)特漏洞和安全風(fēng)險(xiǎn)’,但仔細(xì)看,您會(huì)看到其中列出了完全相同的Web漏洞,順序稍有不同,并采用了略微不同的文字描述。為了提高效率,API調(diào)用經(jīng)過了專門設(shè)計(jì),使得用戶可以更輕松、更快地自動(dòng)執(zhí)行調(diào)用——這是一把雙刃劍,既有利于開發(fā)人員,也有利于攻擊者。”

攻擊流量激增指向持續(xù)存在的API漏洞

報(bào)告中還詳細(xì)提到,Akamai審查了2020年1月至2021年6月間(18個(gè)月)的攻擊流量,發(fā)現(xiàn)總攻擊次數(shù)超過110億次。憑借記錄到的62億次攻擊,SQL注入(SQLi)仍然在Web攻擊趨勢(shì)列表中排在首位,其次是本地文件包含(LFI)(33億次)、跨站點(diǎn)腳本攻擊(XSS)(10.19億次)。

雖然很難在上述攻擊中確定純粹的API攻擊所占的比例,但致力于提高軟件安全性的非營利性基金會(huì)——開放Web應(yīng)用程序安全項(xiàng)目(OWASP)最近發(fā)布了一份10大API安全漏洞清單,該清單基本與Akamai的調(diào)查結(jié)果一致。