了解API安全性有多重要?
      
                                    
                                
      
                                
      
                                    
      應(yīng)用程序編程接口 (API) 在 Web 和移動應(yīng)用程序開發(fā)中發(fā)揮著關(guān)鍵作用,企業(yè)現(xiàn)在嚴(yán)重依賴它們來構(gòu)建他們的產(chǎn)品和服務(wù)。這并不奇怪,因為 API 允許開發(fā)人員與任何現(xiàn)代技術(shù)集成,從而提供客戶所需的功能。
      

      了解API安全性有多重要?-南華中天
      

      RapidAPI 調(diào)查 顯示,API 的采用率有所提高,各行各業(yè)的公司都在優(yōu)先考慮參與 API 經(jīng)濟——“在大流行期間,許多公司迅速加快了數(shù)字化轉(zhuǎn)型之旅。因此,他們對軟件開發(fā),特別是 API 經(jīng)濟的投資繼續(xù)增加是有道理的,” RapidAPI 首席執(zhí)行官 Iddo Gino 說。
      

      這個閘門打開了更廣泛的攻擊面并增加了 API 攻擊的風(fēng)險——使API 安全成為重中之重。那么,什么是 API 安全性以及我們?yōu)槭裁葱枰?API 保護?
      

      什么是 API 安全性?
      

      API 安全涉及實施策略和程序以減輕 API(應(yīng)用程序編程接口)的漏洞和安全威脅。
      

      它位于三個廣泛的安全領(lǐng)域的交匯處:
      

      API 安全還處理安全問題,包括內(nèi)容驗證、訪問控制、速率限制、監(jiān)控和分析、節(jié)流、數(shù)據(jù)安全和基于身份的安全。隨著敏感數(shù)據(jù)通過 API 傳輸,安全的 API 可以保證其處理的消息的機密性,方法是讓具有適當(dāng)使用權(quán)限的應(yīng)用程序、用戶和服務(wù)器可以使用它。同樣,它還通過確保消息在傳輸后未被更改來保證內(nèi)容完整性。
      

      API 安全性有多重要?
      

      隨著網(wǎng)絡(luò)犯罪分子繼續(xù)利用易受攻擊的技術(shù)、流程和人員,他們現(xiàn)在正在將攻擊轉(zhuǎn)移到“傳統(tǒng)”目標(biāo)之外。隨著 API 在外部應(yīng)用程序、物聯(lián)網(wǎng)和移動應(yīng)用程序之上擴展到微服務(wù)和云,攻擊者現(xiàn)在將他們的操作重點放在 API 上。API 已成為新的攻擊前沿,這些統(tǒng)計數(shù)據(jù)也強調(diào)了這一點:
      

      按照設(shè)計,應(yīng)用程序編程接口并非不安全,但是,部署的大量 API 給安全團隊帶來了挑戰(zhàn)。此外,API 開發(fā)技能不足以及未能整合 Web 和云 API 安全規(guī)則可能會導(dǎo)致 API 易受攻擊??梢栽诟鱾€領(lǐng)域觀察到 API 漏洞,例如數(shù)據(jù)暴露、拒絕服務(wù)、授權(quán)缺陷、安全錯誤配置、端點(虛擬環(huán)境、設(shè)備、服務(wù)器等)。
      

      易受攻擊的 API 會引發(fā)重大漏洞。它們很容易被利用,并讓黑客可以訪問敏感的醫(yī)療、財務(wù)和個人數(shù)據(jù)。由于暴露于不安全的 API,我們已經(jīng)在幾家知名公司看到了各種違規(guī)行為。Salesforce、T-Mobile、SolarWinds、Peloton 和 USPS 等等。
      

      同樣,攻擊者可以使用各種其他技術(shù)來濫用 API。如果 API 未得到適當(dāng)保護,以下是一些可能發(fā)生的攻擊:
      

      1. 中間人攻擊(MITM)
      

      當(dāng)消息傳輸未簽名或加密或安全會話設(shè)置存在問題時,API 容易受到中間人攻擊。如果 API 不使用 SSL/TLS,則 API 和客戶端之間的所有消息傳輸都可能受到損害。攻擊者可以更改機密數(shù)據(jù),例如會話標(biāo)識符、個人身份信息等。如果配置不當(dāng)或客戶端未驗證安全會話,即使使用 SSL/TLS 加密的 API 也會面臨風(fēng)險。如果攻擊者捕獲會話令牌,他們可以獲得對包含大量個人和敏感信息的用戶帳戶的訪問權(quán)限。
      

      2. 注入攻擊
      

      當(dāng) API 開發(fā)人員沒有仔細(xì)地將輸入限制為預(yù)期類型時,可能會發(fā)生 API 注入攻擊。在這種攻擊中,黑客通過 API 請求將腳本發(fā)送到應(yīng)用程序服務(wù)器以獲取對軟件的訪問權(quán)限。
      

      3. 被盜認(rèn)證攻擊
      

      與注入攻擊一樣,企業(yè)也應(yīng)該關(guān)注允許攻擊者直接訪問其客戶記錄和數(shù)據(jù)的漏洞。配置了不正確的身份驗證機制的 API 很容易受到這種攻擊,并使黑客能夠劫持用戶的身份和 API 的訪問控制。黑客還可以嘗試暴力攻擊來破壞弱身份驗證過程。
      

      4. DDoS(分布式拒絕服務(wù))攻擊
      

      API 端點是 DDoS 的新攻擊媒介。攻擊者將機器人指向 API,并在一定時間內(nèi)在端點發(fā)出一系列高頻請求。請求的容忍度超過了目標(biāo)的響應(yīng)能力,導(dǎo)致合法用戶無法訪問。邊緣保護和帶有 WAAP (Web 應(yīng)用程序和 API 保護)的 Web 應(yīng)用程序防火墻是針對 DDoS 攻擊的 API 保護的正確選擇。
      

      AppTrana WAAP 的高級 API 安全性
      

      對于需要比傳統(tǒng)技術(shù)提供更好的資源和工具來發(fā)現(xiàn) API 漏洞和執(zhí)行安全掃描的企業(yè)而言,API 保護目前是一個挑戰(zhàn)。他們還需要積累合適的人才,以便在攻擊者之前檢測 API 安全風(fēng)險。
      

      Indusface Apptrana 是一種基于風(fēng)險的 WAAP,它 使用簽名識別、以安全為中心的監(jiān)控、SSL 和 TLS 證書以及其他安全方法來阻止 API 濫用的企圖。
      

      總結(jié)
      

      API 攻擊有多種形式,包括逆向工程、會話重放和欺騙。API 濫用不僅限于這些 API 攻擊,還有更多,攻擊者將來可以發(fā)現(xiàn)更多的攻擊。無論您的企業(yè)在采用 API 的道路上進展如何,您的目標(biāo)都應(yīng)該是創(chuàng)建可靠的 API 安全策略并正確管理它們!