譯者 | 布加迪

審校 | 孫淑娟

API安全威脅始終是個(gè)問(wèn)題。API安全好比開車。發(fā)布之前，您必須謹(jǐn)慎行事，仔細(xì)審查各個(gè)環(huán)節(jié)。不然，您將會(huì)把自己和他人置于險(xiǎn)境之中。

API攻擊比其他攻擊更危險(xiǎn)。Facebook的5000萬(wàn)用戶帳戶曾受到API攻擊的影響，Hostinger帳戶遭到的API數(shù)據(jù)攻擊泄露了1400萬(wàn)條客戶記錄。

如果黑客闖入您的API端點(diǎn)，可能會(huì)給您的項(xiàng)目帶來(lái)災(zāi)難。不安全的API可能會(huì)讓您陷入困境，這視具體的行業(yè)和地區(qū)而定。尤其在歐盟，如果您為銀行服務(wù)，倘若被發(fā)現(xiàn)使用不安全的API，您可能面臨嚴(yán)重的法律和合規(guī)問(wèn)題。

為了減輕這些風(fēng)險(xiǎn)，您需要了解網(wǎng)絡(luò)犯罪分子可以利用的潛在API漏洞。

一、六種經(jīng)常被忽視的API安全風(fēng)險(xiǎn)

1、對(duì)API缺乏可見性和監(jiān)控意味著“風(fēng)險(xiǎn)”

如果您逐步使用基于云的網(wǎng)絡(luò)，所使用的設(shè)備和API的數(shù)量也隨之增加。這也將導(dǎo)致對(duì)您在企業(yè)內(nèi)部或外部泄露哪些API缺乏可見性。

影子、隱藏或棄用的API不被安全團(tuán)隊(duì)了解，為攻擊者針對(duì)未知的 API、API參數(shù)和業(yè)務(wù)邏輯發(fā)動(dòng)成功的網(wǎng)絡(luò)攻擊創(chuàng)造了更多機(jī)會(huì)。API網(wǎng)關(guān)等傳統(tǒng)工具無(wú)法完整地列出所有API。

一定要有API可見性，包括如下：

• 集中式可見性以及列出所有API的清單
• API流量的詳細(xì)視圖
• 對(duì)傳輸敏感信息的API擁有可見性
• API風(fēng)險(xiǎn)自動(dòng)分析，附有預(yù)定義的標(biāo)準(zhǔn)

2.API功能不足

關(guān)注您的API調(diào)用對(duì)于避免向API傳遞重復(fù)的請(qǐng)求很重要。如果兩個(gè)部署的API試圖使用同一個(gè)URL，可能會(huì)導(dǎo)致重復(fù)和冗余的API使用問(wèn)題。這是由于兩個(gè)API上的端點(diǎn)使用同一個(gè)URL。為了避免這種情況，每個(gè)API都應(yīng)該有自己的唯一URL，并加以優(yōu)化。

3.服務(wù)可用性威脅

在僵尸網(wǎng)絡(luò)的幫助下，針對(duì)性的DDoS API攻擊可以使API服務(wù)器的CPU周期和處理器能力超載，發(fā)送帶有無(wú)效請(qǐng)求的服務(wù)調(diào)用，從而使服務(wù)器無(wú)法用于合法流量。DDoS API攻擊不僅針對(duì)運(yùn)行API的服務(wù)器，還針對(duì)每個(gè)API端點(diǎn)。

速率限制讓您有信心保持應(yīng)用程序健康運(yùn)行，而良好的響應(yīng)計(jì)劃隨帶多層安全解決方案，比如AppTrana的API保護(hù)。準(zhǔn)確、全面托管的API保護(hù)可以持續(xù)監(jiān)控API流量，并在抵達(dá)服務(wù)器之前立即阻止惡意請(qǐng)求。

4.因API的使用而猶豫不決

B2B公司經(jīng)常需要向組織外面的團(tuán)隊(duì)公布內(nèi)部API使用方面的數(shù)字。這可能非常有助于促進(jìn)協(xié)作，允許其他人訪問(wèn)您的數(shù)據(jù)和服務(wù)。但是有必要仔細(xì)考慮您允許誰(shuí)訪問(wèn)您的API，以及對(duì)方需要什么樣的訪問(wèn)級(jí)別。您不希望過(guò)于廣泛地開放API，造成安全風(fēng)險(xiǎn)。

在合作伙伴或客戶之間共享API調(diào)用時(shí)，需要對(duì)其密切監(jiān)控。這有助于確保每個(gè)人都按預(yù)期使用API，系統(tǒng)沒(méi)有不堪重負(fù)。

5.API注入

API注入這個(gè)術(shù)語(yǔ)用來(lái)描述惡意代碼連同API請(qǐng)求被注入。注入的命令執(zhí)行后，甚至可以從服務(wù)器刪除用戶的整個(gè)站點(diǎn)。API易受這個(gè)風(fēng)險(xiǎn)影響的主要原因是，API開發(fā)人員未能在輸入內(nèi)容出現(xiàn)在API代碼中之前加以清理。

這個(gè)安全漏洞給用戶帶來(lái)了嚴(yán)重問(wèn)題，包括身份盜用和數(shù)據(jù)泄露，因此意識(shí)到該風(fēng)險(xiǎn)至關(guān)重要。在服務(wù)器端添加輸入驗(yàn)證機(jī)制，以防止注入攻擊，并避免執(zhí)行特殊字符。

6.通過(guò)API攻擊物聯(lián)網(wǎng)設(shè)備

可以在多大程度上鉆物聯(lián)網(wǎng)的“空子”取決于API安全管理水平；如果沒(méi)有這種安全管理，您將很難使用物聯(lián)網(wǎng)設(shè)備。

隨著時(shí)間的推移和技術(shù)的進(jìn)步，黑客總是會(huì)使用新的方法來(lái)利用物聯(lián)網(wǎng)產(chǎn)品中的漏洞。雖然API支持強(qiáng)大的可擴(kuò)展性，但它們?yōu)楹诳驮L問(wèn)物聯(lián)網(wǎng)設(shè)備上的敏感數(shù)據(jù)打開了新入口。為了避免物聯(lián)網(wǎng)設(shè)備面臨的許多威脅和挑戰(zhàn)，API必須更安全。

因此，您需要給物聯(lián)網(wǎng)設(shè)備打上最新的安全補(bǔ)丁，確保它們免受最新威脅的侵害。

二、實(shí)施WAAP，降低API風(fēng)險(xiǎn)

當(dāng)下，許多組織不斷受到API攻擊的威脅。每天都有新的漏洞出現(xiàn)，因此有必要定期檢查所有API是否存在潛在威脅。Web應(yīng)用程序安全工具不足以保護(hù)貴公司免受這類風(fēng)險(xiǎn)。要使API保護(hù)發(fā)揮功效，它就要完全致力于API安全。Web應(yīng)用程序和API保護(hù)（WAAP）系統(tǒng)是這方面切實(shí)有效的解決方案。

原文鏈接：https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html