譯者 | 陳峻

作為一種中介式接口的應(yīng)用程序編程接口(API)，是一組允許軟件組件彼此交互的協(xié)議。他通常可以將基礎(chǔ)架構(gòu)與運(yùn)行在其上面的應(yīng)用程序分離開來，并抽象出系統(tǒng)之間的不同功能。同時，API也能夠讓軟件團(tuán)隊通過重用代碼的方式，來簡化開發(fā)。

隨著API在現(xiàn)代業(yè)務(wù)中的優(yōu)勢和用例的不斷增加，由其固有的弱點所帶來了各種安全風(fēng)險也逐漸引起了開發(fā)界的重視。下面，我將和您深入探討與API漏洞相關(guān)的各種風(fēng)險，同時通過介紹各種常見的API安全實踐，以構(gòu)建出API安全機(jī)制。

一、什么是API安全性?

作為一組服務(wù)，API實現(xiàn)了一個程序與另一個外部、或內(nèi)部程序之間的通信。在談?wù)揂PI安全性時，我們通常指的是保護(hù)應(yīng)用程序的后端服務(wù)，其中包括數(shù)據(jù)庫、用戶管理系統(tǒng)、以及與數(shù)據(jù)存儲交互的其他組件。因此，API安全性常常包含了采用多種工具和實踐，來保護(hù)技術(shù)棧的完整性，進(jìn)而防止惡意攻擊者訪問到敏感的信息，或執(zhí)行各種違規(guī)操作。

不幸的是，雖然API是現(xiàn)代應(yīng)用程序的關(guān)鍵部分，但它們也是攻擊者訪問敏感信息的常見目標(biāo)入口。隨著API越來越成為攻擊的眾矢之的，我們有必要在構(gòu)建API時，了解第三方應(yīng)用程序是如何通過接口傳輸敏感數(shù)據(jù)的，并在此基礎(chǔ)上，通過部署API的安全措施，來協(xié)助安全團(tuán)隊評估風(fēng)險，并提高服務(wù)的整體安全態(tài)勢。

二、API漏洞風(fēng)險

由于API往往是可以被公開訪問的，因此它們自然也成為了竊取應(yīng)用程序邏輯、用戶憑據(jù)、信用卡號等敏感信息的常見途徑。通常，攻擊者會利用API端點中的漏洞，以跨站點腳本和代碼注入等方式，獲得針對目標(biāo)系統(tǒng)的未經(jīng)授權(quán)的訪問、以及其他網(wǎng)絡(luò)形式的攻擊。

目前，業(yè)界比較公認(rèn)的在線Web應(yīng)用程序安全項目(Open Web Application Security Project，OWASP)，針對常見的Web API十大漏洞，發(fā)布了基于各類風(fēng)險的說明與建議。在此，我將和您重點討論如下方面：

失效的用戶身份驗證(Broken User Authentication)：由于API需要依賴那些被嵌入到調(diào)用中的會話令牌，令牌已對客戶端進(jìn)行身份驗證，因此如果未能在API中實施多因素身份驗證和基于憑據(jù)的登錄，而僅靠基本的密碼驗證的話，這樣的驗證機(jī)制顯然是不足的。攻擊者可以輕松地通過冒充合法用戶的身份，來迫使API錯誤地允許他們訪問到令牌。而且，對于那些長期存在的令牌而言，還會導(dǎo)致攻擊者能夠長期駐留并損害系統(tǒng)。

失效的對象級授權(quán)(Broken Object Level Authorization)：在API中，對象級授權(quán)是一種代碼級的控制機(jī)制，可用于驗證對象的訪問。而對于那些存在著對象級授權(quán)漏洞的API而言，外部用戶可以將自己的資源ID，替換為其他用戶的資源ID。據(jù)此，攻擊者能夠訪問到指定的用戶資源，進(jìn)而未經(jīng)授權(quán)地訪問到敏感數(shù)據(jù)。

資源缺乏和速率受限(Lack of Resource and Rate Limiting)：當(dāng)API不限制來自特定客戶端的請求數(shù)量和頻率時，它們可能會被迫進(jìn)行每秒大量的調(diào)用。同時，API客戶端也可以一次性請求訪問多個資源與記錄，從而使得應(yīng)用服務(wù)器為了立即給多個請求提供服務(wù)，而出現(xiàn)過載。這種由于客戶端的單次過多請求，而阻礙服務(wù)器處理正常請求的能力，便是常見的拒絕服務(wù)(DoS)攻擊。此外，缺乏速率的限制還會引發(fā)攻擊者，對于身份驗證端點開展暴力破解式的攻擊。

批量分配(Mass Assignment)：批量分配的漏洞發(fā)生在自動將用戶的輸入傳遞給對象、或程序變量的API時。雖然此項功能簡化了代碼的開發(fā)，但一些用戶可以通過初始化和覆蓋服務(wù)器端的變量，從而危及到應(yīng)用程序的安全。也就是說，攻擊者主要會通過在偽造請求時，猜測和提供額外的對象屬性，來達(dá)到該目的。此外，他們還可以通過閱讀應(yīng)用程序的相關(guān)文檔、或識別出允許其修改服務(wù)器端對象的弱API端點。

安全錯誤配置(Security Misconfigurations)：各種安全錯誤配置都會對API構(gòu)成不同的威脅，其中包括：

(1)詳細(xì)的錯誤消息(Verbose error messages)：一些API會發(fā)送包含著棧跟蹤和描述性系統(tǒng)信息的錯誤消息，讓接收者能夠了解到應(yīng)用程序是在后臺如何工作的。

(2)錯誤配置的HTTP標(biāo)頭(Misconfigured HTTP Headers)：標(biāo)頭會暴露出安全漏洞，攻擊者可以利用此類漏洞，去竊取數(shù)據(jù)，并執(zhí)行更深層次的復(fù)雜攻擊。

(3)非必要的HTTP方法和服務(wù)(Unnecessary HTTP methods and services)：如果管理員未能關(guān)閉不必要的服務(wù)，那么惡意攻擊者便可以使用不同的HTTP方法，去修改已發(fā)布的內(nèi)容與資源。

(4)不安全的默認(rèn)配置(Insecure default configurations)：API往往會與第三方依賴項相關(guān)聯(lián)。不過，在默認(rèn)情況下，此類關(guān)聯(lián)是不安全的，需要我們通過增強(qiáng)安全態(tài)勢，來應(yīng)對由此擴(kuò)大的攻擊面。

三、API安全性的優(yōu)秀實踐

下面我將給出各項有助于緩解API攻擊的優(yōu)秀實踐：

1.使用節(jié)流和速率限制

您可以設(shè)置一個臨時狀態(tài)，以評估每個API請求，并通過使用反垃圾郵件措施、以及防止濫用等措施，來抵御拒絕服務(wù)攻擊。在實施限流的過程中，您可以重點考慮的因素包括：每個用戶應(yīng)該允許占用多少數(shù)據(jù)、以及何時應(yīng)該實施限制。

此外，在某些API中，開發(fā)人員可以設(shè)置“軟”速率限制，允許客戶端在較短的時間內(nèi)臨時超出請求限制。由于可以處理同步和異步請求，因此設(shè)置超時成為了最直接的避免DoS和蠻力攻擊、以及管理REST API安全性的實踐之一。例如：各種編程語言都可以通過隊列庫目錄來管理請求隊列。其中，請求隊列庫能夠支持已創(chuàng)建的可接受最大請求數(shù)的API，并且將其余的請求放入等待隊列中。

2.掃描API漏洞

為了保持API服務(wù)的持續(xù)安全性，啟用自動化掃描、漏洞識別、以及在軟件生命周期的各階段及時彌補(bǔ)各種漏洞是至關(guān)重要的。自動化的掃描工具通過將應(yīng)用程序的配置與已知漏洞數(shù)據(jù)庫進(jìn)行比較，實現(xiàn)了安全漏洞的自動檢測。

3.對REST API實施HTTPS/TLS

在實踐過程中，我們需要針對每個API實現(xiàn)完整性、機(jī)密性和真實性。而作為一種安全協(xié)議，HTTPS和傳輸層安全(Transport Layer Security，TLS)可被用于在Web瀏覽器和服務(wù)器之間傳輸經(jīng)過加密的數(shù)據(jù)，并在傳輸中保護(hù)身份驗證憑據(jù)。安全團(tuán)隊?wèi)?yīng)當(dāng)考慮使用雙向驗證的客戶端證書方式，為敏感數(shù)據(jù)和服務(wù)提供額外的保護(hù)。

此外，在構(gòu)建安全的REST API時，開發(fā)人員不但應(yīng)當(dāng)避免因為直接將HTTP重定向到HTTPS處，而可能破壞API客戶端的安全性;而且應(yīng)當(dāng)采取適當(dāng)?shù)拇胧?，來轉(zhuǎn)移各種跨域資源共享(Cross-Origin Resource Sharing，CORS)和JSONP請求，畢竟兩者往往具有跨域調(diào)用的各種基本漏洞。

4.限制HTTP方法

REST API允許Web應(yīng)用執(zhí)行各種類型的HTTP(動詞)操作。不過，由于HTTP上的數(shù)據(jù)是未經(jīng)加密的，一旦我們使用此類HTTP操作，則可能會被某些攻擊向量攔截和利用到。作為一種優(yōu)秀實踐，我們應(yīng)該禁止本質(zhì)上已被證明極其不安全的HTTP方法(如：GET、PUT、DELETE、以及POST等)。如果無法完全禁止此類使用的話，安全團(tuán)隊也應(yīng)當(dāng)采用相應(yīng)的策略，以嚴(yán)苛的允許列表形式，來審查此類方法的使用，進(jìn)而拒絕所有與列表不匹配的請求。

當(dāng)然，我也推薦您使用RESTful API身份驗證的各項優(yōu)秀實踐，來確保請求的客戶端只能在操作、記錄和資源集合上，使用指定的HTTP方法。

5.實施充分的輸入驗證

原則上，我們不應(yīng)當(dāng)盲目地信任API客戶端提供的各種數(shù)據(jù)，畢竟身份驗證服務(wù)器最終可能會執(zhí)行那些來自未經(jīng)授權(quán)的用戶或應(yīng)用服務(wù)的惡意腳本。雖然客戶端的驗證已經(jīng)能夠給出交互式的錯誤指示、以及可接受的用戶輸入建議，但是，安全團(tuán)隊仍然需要在服務(wù)器端實施輸入驗證機(jī)制，以防止有害數(shù)據(jù)的輸入，并避免不同類型的XSS和SQL注入攻擊。

6.使用API網(wǎng)關(guān)

API網(wǎng)關(guān)能夠有效地將客戶端接口與后端的API集合相分離，提供集中式的資源，以實現(xiàn)API服務(wù)的一致性、可用性和可擴(kuò)展性。同時，網(wǎng)關(guān)也能夠充當(dāng)反向代理，協(xié)調(diào)所有API調(diào)用所需的資源，并在身份驗證后，返回適當(dāng)?shù)慕Y(jié)果。在實踐中，我們可以通過API管理平臺，來處理各種遙測(Telemetry)、速率限制、以及用戶認(rèn)證等標(biāo)準(zhǔn)化功能，以維護(hù)內(nèi)部服務(wù)之間的安全性。

原文鏈接：https://dzone.com/articles/best-practices-to-secure-your-api

譯者介紹

陳峻 (Julian Chen)，51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗;持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。