應(yīng)用程序編程接口 (API) 在 Web 和移動應(yīng)用程序開發(fā)中發(fā)揮著關(guān)鍵作用，企業(yè)現(xiàn)在嚴(yán)重依賴它們來構(gòu)建他們的產(chǎn)品和服務(wù)。這并不奇怪，因為 API 允許開發(fā)人員與任何現(xiàn)代技術(shù)集成，從而提供客戶所需的功能。

RapidAPI 調(diào)查 顯示，API 的采用率有所提高，各行各業(yè)的公司都在優(yōu)先考慮參與 API 經(jīng)濟——“在大流行期間，許多公司迅速加快了數(shù)字化轉(zhuǎn)型之旅。因此，他們對軟件開發(fā)，特別是 API 經(jīng)濟的投資繼續(xù)增加是有道理的，” RapidAPI 首席執(zhí)行官 Iddo Gino 說。

這個閘門打開了更廣泛的攻擊面并增加了 API 攻擊的風(fēng)險——使API 安全成為重中之重。那么，什么是 API 安全性以及我們?yōu)槭裁葱枰?API 保護？

什么是 API 安全性？

API 安全涉及實施策略和程序以減輕 API（應(yīng)用程序編程接口）的漏洞和安全威脅。

它位于三個廣泛的安全領(lǐng)域的交匯處：

API 安全還處理安全問題，包括內(nèi)容驗證、訪問控制、速率限制、監(jiān)控和分析、節(jié)流、數(shù)據(jù)安全和基于身份的安全。隨著敏感數(shù)據(jù)通過 API 傳輸，安全的 API 可以保證其處理的消息的機密性，方法是讓具有適當(dāng)使用權(quán)限的應(yīng)用程序、用戶和服務(wù)器可以使用它。同樣，它還通過確保消息在傳輸后未被更改來保證內(nèi)容完整性。

API 安全性有多重要？

隨著網(wǎng)絡(luò)犯罪分子繼續(xù)利用易受攻擊的技術(shù)、流程和人員，他們現(xiàn)在正在將攻擊轉(zhuǎn)移到“傳統(tǒng)”目標(biāo)之外。隨著 API 在外部應(yīng)用程序、物聯(lián)網(wǎng)和移動應(yīng)用程序之上擴展到微服務(wù)和云，攻擊者現(xiàn)在將他們的操作重點放在 API 上。API 已成為新的攻擊前沿，這些統(tǒng)計數(shù)據(jù)也強調(diào)了這一點：

按照設(shè)計，應(yīng)用程序編程接口并非不安全，但是，部署的大量 API 給安全團隊帶來了挑戰(zhàn)。此外，API 開發(fā)技能不足以及未能整合 Web 和云 API 安全規(guī)則可能會導(dǎo)致 API 易受攻擊。可以在各個領(lǐng)域觀察到 API 漏洞，例如數(shù)據(jù)暴露、拒絕服務(wù)、授權(quán)缺陷、安全錯誤配置、端點（虛擬環(huán)境、設(shè)備、服務(wù)器等）。

易受攻擊的 API 會引發(fā)重大漏洞。它們很容易被利用，并讓黑客可以訪問敏感的醫(yī)療、財務(wù)和個人數(shù)據(jù)。由于暴露于不安全的 API，我們已經(jīng)在幾家知名公司看到了各種違規(guī)行為。Salesforce、T-Mobile、SolarWinds、Peloton 和 USPS 等等。

同樣，攻擊者可以使用各種其他技術(shù)來濫用 API。如果 API 未得到適當(dāng)保護，以下是一些可能發(fā)生的攻擊：

1. 中間人攻擊（MITM）

當(dāng)消息傳輸未簽名或加密或安全會話設(shè)置存在問題時，API 容易受到中間人攻擊。如果 API 不使用 SSL/TLS，則 API 和客戶端之間的所有消息傳輸都可能受到損害。攻擊者可以更改機密數(shù)據(jù)，例如會話標(biāo)識符、個人身份信息等。如果配置不當(dāng)或客戶端未驗證安全會話，即使使用 SSL/TLS 加密的 API 也會面臨風(fēng)險。如果攻擊者捕獲會話令牌，他們可以獲得對包含大量個人和敏感信息的用戶帳戶的訪問權(quán)限。

2. 注入攻擊

當(dāng) API 開發(fā)人員沒有仔細地將輸入限制為預(yù)期類型時，可能會發(fā)生 API 注入攻擊。在這種攻擊中，黑客通過 API 請求將腳本發(fā)送到應(yīng)用程序服務(wù)器以獲取對軟件的訪問權(quán)限。

3. 被盜認證攻擊

與注入攻擊一樣，企業(yè)也應(yīng)該關(guān)注允許攻擊者直接訪問其客戶記錄和數(shù)據(jù)的漏洞。配置了不正確的身份驗證機制的 API 很容易受到這種攻擊，并使黑客能夠劫持用戶的身份和 API 的訪問控制。黑客還可以嘗試暴力攻擊來破壞弱身份驗證過程。

4. DDoS（分布式拒絕服務(wù)）攻擊

API 端點是 DDoS 的新攻擊媒介。攻擊者將機器人指向 API，并在一定時間內(nèi)在端點發(fā)出一系列高頻請求。請求的容忍度超過了目標(biāo)的響應(yīng)能力，導(dǎo)致合法用戶無法訪問。邊緣保護和帶有 WAAP （Web 應(yīng)用程序和 API 保護）的 Web 應(yīng)用程序防火墻是針對 DDoS 攻擊的 API 保護的正確選擇。

AppTrana WAAP 的高級 API 安全性

對于需要比傳統(tǒng)技術(shù)提供更好的資源和工具來發(fā)現(xiàn) API 漏洞和執(zhí)行安全掃描的企業(yè)而言，API 保護目前是一個挑戰(zhàn)。他們還需要積累合適的人才，以便在攻擊者之前檢測 API 安全風(fēng)險。

Indusface Apptrana 是一種基于風(fēng)險的 WAAP，它 使用簽名識別、以安全為中心的監(jiān)控、SSL 和 TLS 證書以及其他安全方法來阻止 API 濫用的企圖。

總結(jié)

API 攻擊有多種形式，包括逆向工程、會話重放和欺騙。API 濫用不僅限于這些 API 攻擊，還有更多，攻擊者將來可以發(fā)現(xiàn)更多的攻擊。無論您的企業(yè)在采用 API 的道路上進展如何，您的目標(biāo)都應(yīng)該是創(chuàng)建可靠的 API 安全策略并正確管理它們！