應(yīng)用編程接口已成為攻擊者鐘愛(ài)的目標(biāo)。本文所列工具和平臺(tái)(無(wú)論商業(yè)還是開(kāi)源)可幫助企業(yè)識(shí)別錯(cuò)誤、漏洞和權(quán)限分配過(guò)大等問(wèn)題。

應(yīng)用編程接口(API)是大多數(shù)現(xiàn)代程序和應(yīng)用的關(guān)鍵部分。事實(shí)上，云部署和移動(dòng)應(yīng)用都非常依賴于API，如果不用API管理遍布各處的組件，云部署和移動(dòng)應(yīng)用都將成為泡影。許多大公司，尤其是那些擁有大量在線業(yè)務(wù)的公司，甚至在其基礎(chǔ)設(shè)施中嵌入了成百上千個(gè)API。API的增長(zhǎng)只會(huì)繼續(xù)加速。

API的巧妙之處在于，大多數(shù)API只是一小段代碼，而且所有API在網(wǎng)絡(luò)資源需求方面都很精簡(jiǎn)，幾乎無(wú)感。更妙的是，API還很靈活，即使所交互或控制的程序發(fā)生變動(dòng)，比如打上了補(bǔ)丁，API也能繼續(xù)運(yùn)行并執(zhí)行其主要功能。

但即使如此令人神往，API也存在自身的缺陷。因?yàn)榭蓪PI設(shè)計(jì)成能夠執(zhí)行幾乎所有任務(wù)，無(wú)論是不斷重復(fù)的單一功能，還是精妙控制各種程序或平臺(tái)的高級(jí)操作，所以幾乎沒(méi)有任何標(biāo)準(zhǔn)來(lái)管理API的編寫。絕大多數(shù)API都是獨(dú)特的，很多企業(yè)就是根據(jù)需要不斷創(chuàng)建新的API。這對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)可能是一場(chǎng)噩夢(mèng)。

攻擊者看中API的另一方面是，很多API被賦予了過(guò)多的權(quán)限。即使只執(zhí)行少數(shù)功能的API通常也具有幾乎相當(dāng)于管理員的權(quán)限。個(gè)中想法是：API那么小，能有多大害呢?黑客就不這么想了，他們會(huì)侵入API，然后利用這些權(quán)限/憑證搞事情，例如數(shù)據(jù)泄露，或者進(jìn)一步滲透網(wǎng)絡(luò)。根據(jù)安全公司阿卡邁進(jìn)行的安全研究，近75%的現(xiàn)代憑證攻擊針對(duì)缺乏防護(hù)的API。

問(wèn)題越來(lái)越嚴(yán)重。Gartner預(yù)測(cè)，2022年，所有網(wǎng)絡(luò)安全類別中，涉及API的漏洞將成為最常見(jiàn)的攻擊渠道。

API測(cè)試工具成救星

關(guān)鍵網(wǎng)絡(luò)和程序組件被攻擊者盯上就夠糟糕的了，落到API身上，情況卻更加糟心，因?yàn)锳PI的創(chuàng)建根本沒(méi)有標(biāo)準(zhǔn)可依。很多企業(yè)可能壓根兒不知道自己使用了多少API，也不清楚這些API都在干些什么，或者擁有多高的權(quán)限級(jí)別，更遑論API里是否存在漏洞的問(wèn)題了。

安全行業(yè)和私人團(tuán)體推出API測(cè)試工具和平臺(tái)來(lái)幫助解決這些問(wèn)題。一些測(cè)試工具旨在執(zhí)行單一功能，例如錨定特定Docker API配置不當(dāng)?shù)脑颉Ｆ渌ぞ邉t對(duì)整個(gè)網(wǎng)絡(luò)采取更全面的方法，搜索API，然后提供關(guān)于API功能的信息，給出API可能存在漏洞或權(quán)限過(guò)多問(wèn)題的原因分析。

目前有幾個(gè)著名的商業(yè)API測(cè)試平臺(tái)和大量免費(fèi)或低成本的開(kāi)源工具可供使用。商業(yè)工具通常具有更多的支持選項(xiàng)，并且可以通過(guò)云或者甚至作為服務(wù)進(jìn)行遠(yuǎn)程部署。一些開(kāi)源工具可能在功能上堪比商業(yè)工具，還具備來(lái)自工具研發(fā)用戶社區(qū)的支持。具體選擇何種工具取決于你的需求、公司IT團(tuán)隊(duì)的安全專業(yè)知識(shí)和你的預(yù)算。

下面我們列出市面上幾款頂級(jí)商業(yè)API測(cè)試工具及其主要功能，以及部分優(yōu)秀的開(kāi)源工具。

商業(yè)API測(cè)試工具與平臺(tái)

APIsec

APIsec可看作是針對(duì)API的滲透測(cè)試工具。很多工具可以掃描用于腳本注入等典型攻擊的常見(jiàn)漏洞，但APIsec重在測(cè)試目標(biāo)API的方方面面，確保從核心網(wǎng)絡(luò)到訪問(wèn)核心網(wǎng)絡(luò)的端點(diǎn)都免于遭受API代碼漏洞影響。

APIsec的一大優(yōu)勢(shì)是可以在API開(kāi)發(fā)階段就部署上。對(duì)構(gòu)建過(guò)程中的應(yīng)用執(zhí)行全面掃描只需要幾分鐘，但其結(jié)果可媲美過(guò)去需要數(shù)天或數(shù)周才能完成的老式滲透測(cè)試。

AppKnox

AppKnox對(duì)購(gòu)買并部署了其平臺(tái)的用戶助益良多。結(jié)合其易于使用的界面，AppKnox堪稱沒(méi)有大型安全團(tuán)隊(duì)專門負(fù)責(zé)API的公司的理想選擇。AppKnox通過(guò)掃描定位在生產(chǎn)環(huán)境、端點(diǎn)或任何可能部署之處的API。定位后，用戶可以選擇API提交，進(jìn)行進(jìn)一步的測(cè)試。

AppKnox測(cè)試所有可能導(dǎo)致API中斷或被破壞的常見(jiàn)問(wèn)題，例如HTTP請(qǐng)求命令注入漏洞、跨站跟蹤和SQL注入漏洞。測(cè)試包括對(duì)Web服務(wù)器、數(shù)據(jù)庫(kù)和服務(wù)器上與API交互的所有組件的完整分析。

執(zhí)行了API掃描后，用戶可將其測(cè)試結(jié)果提交給人類安全研究員進(jìn)行高級(jí)分析，高級(jí)分析過(guò)程通常需要三到五天。

Data Theorem API Secure

Data Theorem API Secure平臺(tái)旨在適應(yīng)任何持續(xù)集成和持續(xù)交付/部署(CI/CD)環(huán)境，從而在開(kāi)發(fā)的每個(gè)階段和生產(chǎn)環(huán)境中為API提供持續(xù)的安全。該分析器引擎會(huì)持續(xù)搜索網(wǎng)絡(luò)，查找新的API，并快速識(shí)別未授權(quán)API或?qū)儆诠居白覫T的那些API。

分析器引擎會(huì)自動(dòng)收集最新的涉API漏洞信息，并不斷測(cè)試其保護(hù)范圍內(nèi)的資產(chǎn)。Data Theorem API Secure本地環(huán)境和云環(huán)境都適用，可以確保沒(méi)有API會(huì)淪為最新威脅的受害者。為保持CI/CD過(guò)程清晰流暢，Data Theorem API Secure提供自動(dòng)修復(fù)所發(fā)現(xiàn)問(wèn)題的功能，無(wú)需人工干預(yù)。如此一來(lái)，只要能夠適應(yīng)高度自動(dòng)化，企業(yè)就可以確保所用API可抵御最新的威脅。

Postman

Postman完全具備作為API測(cè)試工具的資格，但其更為人所知的名號(hào)卻是打造安全API的全套協(xié)作平臺(tái)。數(shù)百萬(wàn)Windows、Linux和iOS開(kāi)發(fā)人員使用Postman不是沒(méi)有原因的。

Postman為開(kāi)發(fā)人員提供了一整套API工具供設(shè)計(jì)新API使用，還為企業(yè)提供了安全的存儲(chǔ)庫(kù)，讓企業(yè)可以放心存儲(chǔ)逐漸累積的代碼。使用安全存儲(chǔ)庫(kù)可以確保未來(lái)的API從一開(kāi)始就保持嚴(yán)格的安全和組織標(biāo)準(zhǔn)。

Postman提供的工作區(qū)旨在幫助開(kāi)發(fā)人員組織自身工作。如果應(yīng)用代碼開(kāi)始偏離公司確立的安全模板或包含潛在漏洞，Postman還可以發(fā)出安全警告。這樣就可以遠(yuǎn)早于問(wèn)題進(jìn)入生產(chǎn)環(huán)境之前防患于未然。

Smartbear ReadyAPI

除了安全測(cè)試之外，Smartbear ReadyAPI平臺(tái)還旨在優(yōu)化API在任何環(huán)境中的使用和性能。Smartbear ReadyAPI支持一鍵執(zhí)行API安全分析，也還支持其他關(guān)鍵功能，例如查看API處理非預(yù)期負(fù)載或使用量突增的性能。

還可以配置ReadyAPI，令其生成API需處理的特定類型流量。ReadyAPI還可以記錄實(shí)時(shí)API流量，以便校準(zhǔn)未來(lái)的測(cè)試，針對(duì)將在其中運(yùn)行的獨(dú)特環(huán)境加以配置。此外，該平臺(tái)可以導(dǎo)入幾乎任何規(guī)范或模式，讓用戶可以使用最流行的協(xié)議測(cè)試API。本地ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等，且可早在API上線之前運(yùn)行于從開(kāi)發(fā)到質(zhì)量保證的各個(gè)環(huán)境。

Synopsis API Scanner

Synopsis API Scanner之所以如此強(qiáng)大，其中一個(gè)原因就在于，除了安全測(cè)試之外，該工具還在其深度掃描與測(cè)試套件中融合了模糊測(cè)試。模糊測(cè)試引擎向API發(fā)送數(shù)以千計(jì)的非預(yù)期輸入、無(wú)效輸入或隨機(jī)輸入，查看這些API的行為方式，或者觀察其在遇到超大數(shù)字或異常命令之類的事情時(shí)是否會(huì)崩潰。

該引擎還可繪制整個(gè)API的所有路徑和邏輯，包括所有適用的端點(diǎn)、參數(shù)、認(rèn)證和規(guī)范。使用該引擎，開(kāi)發(fā)人員可以清楚地看到自己期望中API應(yīng)該要執(zhí)行的功能，與它們有時(shí)候?qū)嶋H執(zhí)行的功能之間，存在哪些差異。這昭示了為什么API可能會(huì)受到意外行為或安全漏洞的影響。

開(kāi)源API測(cè)試工具

盡管開(kāi)源工具的支持通常不如商業(yè)產(chǎn)品，有經(jīng)驗(yàn)的開(kāi)發(fā)人員仍然可以很輕松地部署這些開(kāi)源工具(往往是免費(fèi)的)，用來(lái)增強(qiáng)或改善其API的安全。下面我們例舉幾款在開(kāi)源社區(qū)備受推崇的API安全測(cè)試工具。

Astra

Astra主要專注于表征狀態(tài)轉(zhuǎn)移(REST)API。這類API由于經(jīng)常不斷變化，極其難以維護(hù)安全。鑒于REST架構(gòu)風(fēng)格強(qiáng)調(diào)組件之間交互的可擴(kuò)展性，隨著時(shí)間的推移，保持REST API安全可能很具挑戰(zhàn)性。Astra的效用在于幫助集成進(jìn)CI/CD流水線，進(jìn)行檢查，確保常見(jiàn)漏洞不會(huì)蔓延到所謂的安全REST API中。

crAPI

crAPI是可以連接到目標(biāo)系統(tǒng)并使用根客戶端默認(rèn)處理程序集提供基本路徑的少數(shù)封裝器之一，并且無(wú)需創(chuàng)建任何新連接即可完成此操作。高級(jí)API開(kāi)發(fā)人員可以之節(jié)省大量時(shí)間。

Apache JMeter

Apache JMeter顯然是用Java編寫的，最初用作Web應(yīng)用的負(fù)載測(cè)試器，但最近擴(kuò)展到幾乎可以用于任何應(yīng)用、程序或API。Apache JMeter精巧的套件可以測(cè)試靜態(tài)或動(dòng)態(tài)資源的性能。它可以大量生成真實(shí)流量的模擬負(fù)載，供開(kāi)發(fā)人員發(fā)現(xiàn)其API在壓力下的表現(xiàn)。

Taurus

Taurus可以很方便地將獨(dú)立API測(cè)試程序轉(zhuǎn)換為連續(xù)測(cè)試操作。從表面上看，Taurus簡(jiǎn)單易用。安裝好Taurus，創(chuàng)建一個(gè)配置文件，就可以讓測(cè)試工具各司其職了。再深入了解一下，你可以找到生成交互式報(bào)告的方法，創(chuàng)建更復(fù)雜的場(chǎng)景來(lái)測(cè)試API，還可以設(shè)置故障標(biāo)準(zhǔn)，從而可以立即切入并修復(fù)發(fā)現(xiàn)的問(wèn)題。