隨著越來(lái)越多的組織依賴 Web 應(yīng)用程序和連接服務(wù)提供的自動(dòng)化和規(guī)模，應(yīng)用程序編程接口 (API) 安全性已變得勢(shì)在必行。僅去年一年，針對(duì)客戶 API 的獨(dú)特攻擊者就增長(zhǎng)了 400%，這證明組織必須采取主動(dòng)方法來(lái)保護(hù)這些日益有價(jià)值的服務(wù)。

但考慮到 API 技術(shù)的快速發(fā)展和威脅數(shù)量的不斷增加，了解從何處以及如何開(kāi)始保護(hù) API 可能會(huì)令人難以承受。幸運(yùn)的是，像開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目 (OWASP) 這樣的組織一直在努力識(shí)別企業(yè)應(yīng)優(yōu)先考慮的最常見(jiàn)和最危險(xiǎn)的 API 安全風(fēng)險(xiǎn)。

OWASP 前 10 名是什么？

開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目 (OWASP) Top 10因其全面性和準(zhǔn)確性而受到認(rèn)可，是一份詳細(xì)列表，每一到兩年更新一次，突出顯示企業(yè)應(yīng)了解的關(guān)鍵 Web 應(yīng)用程序安全風(fēng)險(xiǎn)。OWASP 是一個(gè)由數(shù)萬(wàn)名貢獻(xiàn)者組成的非營(yíng)利社區(qū)，致力于通過(guò)創(chuàng)建框架、工具和教育計(jì)劃等各種措施來(lái)促進(jìn)軟件安全。

隨著時(shí)間的推移，數(shù)字威脅不斷演變。因此，OWASP列表會(huì)根據(jù)API安全特定的數(shù)據(jù)趨勢(shì)及時(shí)更新，有助于開(kāi)發(fā)人員和安全專業(yè)人員優(yōu)先考慮對(duì)策。最近，2023年，OWASP發(fā)布了需要警惕的10大API安全風(fēng)險(xiǎn)的更新列表。

從列表底部開(kāi)始，這些是組織在 2023 年需要注意的OWASP Top 10API 安全風(fēng)險(xiǎn)以及可以采取的緩解這些風(fēng)險(xiǎn)的具體措施。

10. API 的不安全使用

當(dāng)應(yīng)用程序無(wú)法驗(yàn)證、過(guò)濾或清理從外部 API 接收的數(shù)據(jù)時(shí)，就會(huì)發(fā)生 API 的不安全使用。這可能會(huì)導(dǎo)致注入攻擊或數(shù)據(jù)泄露等安全漏洞。隨著組織越來(lái)越依賴第三方 API 來(lái)提供關(guān)鍵功能，確保安全使用對(duì)于防止攻擊者利用這些集成變得更加重要。

緩解策略：

• 在處理或存儲(chǔ)之前驗(yàn)證和清理從外部 API 接收的所有數(shù)據(jù)。這有助于確保您的應(yīng)用程序中僅使用有效且安全的數(shù)據(jù)。
• 使用允許列表和嚴(yán)格的數(shù)據(jù)類型限制實(shí)施輸入驗(yàn)證，以防止您的應(yīng)用程序處理潛在有害的數(shù)據(jù)。
• 使用安全的 API 網(wǎng)關(guān)來(lái)過(guò)濾和監(jiān)控傳入的 API 請(qǐng)求，從而針對(duì)針對(duì)您的 API 的惡意流量添加一層保護(hù)。

9、庫(kù)存管理不當(dāng)

庫(kù)存管理不當(dāng)與組織使用的 API 缺乏足夠的控制有關(guān)。這可能會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)和增加攻擊面，從而將敏感數(shù)據(jù)暴露給惡意方。隨著組織使用的 API 數(shù)量不斷增加，跟蹤其功能、端點(diǎn)和可訪問(wèn)性指令以維護(hù)對(duì) API 生態(tài)系統(tǒng)的整體保護(hù)至關(guān)重要。

緩解策略：

• 維護(hù)組織內(nèi)所有 API 的最新清單，包括其用途、端點(diǎn)和訪問(wèn)控制。這可以幫助您識(shí)別潛在的安全漏洞并確保所有 API 都得到充分保護(hù)。
• 定期審查和更新 API 文檔，以確保其準(zhǔn)確反映 API 的當(dāng)前狀態(tài)。清晰準(zhǔn)確的文檔對(duì)于開(kāi)發(fā)人員和安全專業(yè)人員有效理解和保護(hù) API 至關(guān)重要。
• 停用未使用或已棄用的 API，以最大程度地減少攻擊面。刪除不必要的 API 可以降低攻擊者發(fā)現(xiàn)和利用易受攻擊端點(diǎn)的可能性。

8. 安全配置錯(cuò)誤

當(dāng) API 未安全配置時(shí)，就會(huì)發(fā)生安全配置錯(cuò)誤，從而使其面臨各種安全風(fēng)險(xiǎn)。安全配置錯(cuò)誤的示例包括使用默認(rèn)憑據(jù)、未能關(guān)閉不必要的功能或忽略及時(shí)應(yīng)用安全補(bǔ)丁。

緩解策略：

• 在開(kāi)發(fā)的早期階段使用安全配置設(shè)置您的 API。
• 定期審查和更新 API 配置，以確保它們持續(xù)應(yīng)用最佳安全實(shí)踐。
• 使用自動(dòng)化工具通過(guò)持續(xù)監(jiān)控來(lái)檢測(cè)和修復(fù)安全配置錯(cuò)誤。

7. 服務(wù)器端請(qǐng)求偽造（SSRF）

服務(wù)器端請(qǐng)求偽造 (SSRF) 是一個(gè)漏洞，允許攻擊者操縱服務(wù)器端請(qǐng)求，可能導(dǎo)致未經(jīng)授權(quán)訪問(wèn)內(nèi)部資源或遠(yuǎn)程執(zhí)行代碼。這可能會(huì)導(dǎo)致敏感數(shù)據(jù)暴露、關(guān)鍵系統(tǒng)中斷甚至整個(gè)系統(tǒng)受損。

緩解策略：

• 驗(yàn)證和清理服務(wù)器端請(qǐng)求中使用的用戶提供的輸入。這有助于確保您的應(yīng)用程序僅處理合法請(qǐng)求，并降低 SSRF 攻擊的風(fēng)險(xiǎn)。
• 限制 API 可以訪問(wèn)的請(qǐng)求類型和資源。實(shí)施嚴(yán)格的訪問(wèn)控制有助于防止未經(jīng)授權(quán)的操作并限制 SSRF 攻擊的潛在影響。
• 實(shí)施網(wǎng)絡(luò)分段和防火墻規(guī)則以限制對(duì)內(nèi)部系統(tǒng)的訪問(wèn)。您可以通過(guò)將敏感資源與面向公眾的 API 隔離來(lái)降低 SSRF 攻擊成功的可能性。

6. 不受限制地訪問(wèn)敏感業(yè)務(wù)流程

當(dāng) API 未能實(shí)施適當(dāng)?shù)脑L問(wèn)控制時(shí)，就會(huì)出現(xiàn)對(duì)敏感業(yè)務(wù)流的不受限制的訪問(wèn)，從而允許未經(jīng)授權(quán)的用戶執(zhí)行敏感操作或訪問(wèn)機(jī)密數(shù)據(jù)。

緩解策略：

• 為所有 API 端點(diǎn)實(shí)施強(qiáng)大的身份驗(yàn)證和授權(quán)機(jī)制。
• 應(yīng)用最小權(quán)限原則，授予用戶執(zhí)行任務(wù)所需的最低權(quán)限。
• 定期審核和監(jiān)控API訪問(wèn)日志，以檢測(cè)和響應(yīng)潛在的安全事件。

5. 功能級(jí)別授權(quán)被破壞

功能級(jí)授權(quán)損壞本質(zhì)上是指由于不安全的直接對(duì)象引用 (IDOR) 問(wèn)題，普通用戶可以執(zhí)行應(yīng)為管理員保留的任務(wù)的情況。當(dāng)用戶的分級(jí)權(quán)限系統(tǒng)不完整或出現(xiàn)故障時(shí)，就會(huì)發(fā)生這種情況。

緩解策略：

• 對(duì)所有 API 端點(diǎn)實(shí)施嚴(yán)格的授權(quán)檢查。
• 使用基于角色的訪問(wèn)控制 (RBAC) 來(lái)管理用戶權(quán)限。
• 定期審查和更新訪問(wèn)控制策略。

4. 資源消耗不受限制

當(dāng)攻擊者利用 API 漏洞消耗過(guò)多的系統(tǒng)資源（例如內(nèi)存、CPU 或網(wǎng)絡(luò)帶寬）時(shí)，就會(huì)發(fā)生無(wú)限制的資源消耗或拒絕服務(wù) (DoS) 攻擊。這可能會(huì)導(dǎo)致受影響的服務(wù)降級(jí)或完全不可用。

緩解策略：

• 監(jiān)視和限制資源使用。
• 實(shí)施速率限制以控制來(lái)自客戶端的請(qǐng)求數(shù)量。
• 使用緩存來(lái)減少后端系統(tǒng)的負(fù)載。

3.破壞對(duì)象屬性級(jí)別授權(quán)

損壞的對(duì)象屬性級(jí)別授權(quán)是一種安全風(fēng)險(xiǎn)，當(dāng)攻擊者可以訪問(wèn)或修改他們不應(yīng)訪問(wèn)的對(duì)象的屬性時(shí)，就會(huì)發(fā)生這種安全風(fēng)險(xiǎn)。如果 API 在授予對(duì)象屬性訪問(wèn)權(quán)限之前未正確驗(yàn)證用戶權(quán)限，則可能會(huì)發(fā)生這種情況。

緩解策略：

• 對(duì)所有對(duì)象屬性實(shí)施適當(dāng)?shù)脑L問(wèn)控制檢查。
• 在授予對(duì)對(duì)象屬性的訪問(wèn)權(quán)限之前驗(yàn)證用戶權(quán)限。
• 使用基于屬性的訪問(wèn)控制 (ABAC) 定義精細(xì)的訪問(wèn)規(guī)則。

2. 認(rèn)證失效

當(dāng)身份驗(yàn)證協(xié)議不夠強(qiáng)大或執(zhí)行不正確時(shí)，就會(huì)出現(xiàn)安全問(wèn)題。這為攻擊者在未被發(fā)現(xiàn)的情況下破壞 API 敞開(kāi)了大門。身份驗(yàn)證弱點(diǎn)可以通過(guò)多種方式表現(xiàn)出來(lái)，包括但不限于不良的密碼創(chuàng)建最佳實(shí)踐、受損的密碼存儲(chǔ)系統(tǒng)以及基于令牌的身份驗(yàn)證框架中的漏洞。

緩解策略：

• 實(shí)施強(qiáng)密碼策略。
• 使用安全密碼存儲(chǔ)方法，例如 bcrypt 或 Argon2。
• 盡可能實(shí)施多重身份驗(yàn)證 (MFA)。

1. 對(duì)象級(jí)授權(quán)被破壞

由于驗(yàn)證數(shù)據(jù)對(duì)象訪問(wèn)的授權(quán)控制存在缺陷，當(dāng)用戶可以訪問(wèn)其他用戶的數(shù)據(jù)時(shí)，就會(huì)出現(xiàn)對(duì)象級(jí)授權(quán)損壞 (BOLA) 漏洞。BOLA 漏洞通常是由不安全的編碼實(shí)踐引起的，例如在授予對(duì)象訪問(wèn)權(quán)限之前未能正確驗(yàn)證用戶輸入或檢查權(quán)限。當(dāng) API 使用過(guò)于寬松的訪問(wèn)控制或 API 資源沒(méi)有得到充分保護(hù)時(shí)，就會(huì)發(fā)生這種情況。

緩解策略：

• 采用隨機(jī)、通用唯一標(biāo)識(shí)符 (UUID)。
• 建立強(qiáng)大的授權(quán)協(xié)議。
• 采用零信任安全框架。

確保API 安全

確保 API 的安全需要采用整體方法，涵蓋從身份驗(yàn)證和授權(quán)到訪問(wèn)控制和資源管理的所有內(nèi)容。通過(guò)采取必要的步驟來(lái)確保API 并采用最佳安全實(shí)踐，可以保護(hù)應(yīng)用程序和數(shù)據(jù)免受潛在攻擊，同時(shí)受益于強(qiáng)大的 API 驅(qū)動(dòng)架構(gòu)的優(yōu)勢(shì)。