API讓天下沒有難做的生意，黑客也是這么認(rèn)為的。在企業(yè)數(shù)字化轉(zhuǎn)型如火如荼的今天，API已經(jīng)遠(yuǎn)遠(yuǎn)超出了技術(shù)范疇，互聯(lián)網(wǎng)商業(yè)創(chuàng)新和傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型都離不開API經(jīng)濟(jì)或者API戰(zhàn)略。API連接的不僅僅是系統(tǒng)和數(shù)據(jù)，還包括企業(yè)職能部門、客戶和合作伙伴，甚至整個(gè)商業(yè)生態(tài)。與此同時(shí)，日益嚴(yán)峻的安全威脅，使得API正在成為網(wǎng)絡(luò)安全的下一個(gè)前沿陣地。

API使一切都變得更加容易，從數(shù)據(jù)共享到系統(tǒng)連接到關(guān)鍵功能的交付，但API也使攻擊者(包括惡意機(jī)器人)更容易進(jìn)行攻擊。API的應(yīng)用激增，正刺激網(wǎng)絡(luò)犯罪分子越來越多地利用API安全漏洞進(jìn)行欺詐和竊取數(shù)據(jù)。

以下，我們將探討容易被黑客利用的五個(gè)API漏洞，并分享安全專家們給出的緩解和強(qiáng)化建議。

一、太容易被發(fā)現(xiàn)

假如你是黑客，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的第一件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機(jī)端下載安裝移動(dòng)應(yīng)用程序，然后使用攔截代理監(jiān)視通信。

攔截代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點(diǎn)進(jìn)行分類。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。

如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動(dòng)，攻擊者可以搜索無法正確保護(hù)用戶數(shù)據(jù)的常見配置錯(cuò)誤或API。

最后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點(diǎn)。

有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測試標(biāo)準(zhǔn)用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。

解決方法：為了使攻擊者更加難以發(fā)現(xiàn)API，請確保通過僅允許有效用戶訪問的權(quán)限管理來控制對API文檔的訪問。雖然將證書固定在移動(dòng)應(yīng)用程序上并不能完全隱藏API端點(diǎn)，并且也不完美，但確實(shí)給攻擊增加了額外的步驟。對Web服務(wù)器的API請求應(yīng)盡可能地被混淆和控制。

二、過于詳細(xì)的錯(cuò)誤信息

最近，攻擊者接管賬戶的嘗試在不斷增加。錯(cuò)誤消息過于“詳細(xì)周到”，往往使此類攻擊更加容易。冗長的錯(cuò)誤消息會引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請求。API專為低負(fù)載下的高速交易而設(shè)計(jì)，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進(jìn)行利用。

解決方法：不要拿用戶體驗(yàn)作為擋箭牌，有些看起來有利于用戶體驗(yàn)的做法，未必有利于安全性。系統(tǒng)返回的錯(cuò)誤信息不應(yīng)該包括錯(cuò)誤的用戶名或錯(cuò)誤的密碼，甚至不能包含錯(cuò)誤信息的類別(用戶名還是密碼錯(cuò)誤)。用于查詢數(shù)據(jù)的錯(cuò)誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執(zhí)行，則應(yīng)該返回最“沒有營養(yǎng)”的錯(cuò)誤信息：“糟糕，哪里出錯(cuò)了”。

三、參數(shù)太多

當(dāng)攻擊者通過API調(diào)用遍歷攻擊系統(tǒng)時(shí)，他們必須弄清楚可以發(fā)送些什么來獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個(gè)事實(shí)：即越復(fù)雜的系統(tǒng)，出錯(cuò)的地方越多。攻擊者識別出API后，他們將對參數(shù)進(jìn)行分類，然后嘗試訪問管理員(垂直特權(quán)升級)或另一個(gè)用戶(水平特權(quán)升級)的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。

在最近的研究項(xiàng)目中，我們對目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎(jiǎng)勵(lì)信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。

解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對他們知道的參數(shù)進(jìn)行暴力破解。

四、數(shù)據(jù)過多

同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見的下一步行動(dòng)。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲可以直接訪問的數(shù)據(jù)。

安全專業(yè)人員正在努力應(yīng)對API請求經(jīng)常暴露數(shù)據(jù)存儲位置的挑戰(zhàn)。例如，當(dāng)我查看安全攝像機(jī)中的視頻時(shí)，可以看到該信息來自Amazon S3存儲庫。通常，那些S3存儲庫的保護(hù)并不周全，任何人的數(shù)據(jù)都可以被檢索。

另一個(gè)常見的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過載，很多企業(yè)都像入冬前的花栗鼠，存儲的數(shù)據(jù)量遠(yuǎn)遠(yuǎn)超出了需要。很多過期客戶數(shù)據(jù)已經(jīng)沒有商業(yè)價(jià)值和保存價(jià)值，但是如果發(fā)生泄露，則會給企業(yè)帶來巨大的品牌和合規(guī)風(fēng)險(xiǎn)。

解決方法：對于存儲用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進(jìn)行徹底的數(shù)據(jù)審查。在檢查了存儲的數(shù)據(jù)之后，應(yīng)制定數(shù)據(jù)訪問規(guī)則并進(jìn)行測試。確保能夠匿名訪問的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。

五、安全設(shè)計(jì)太少

多年以來，應(yīng)用程序設(shè)計(jì)總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計(jì)流程之外。通常都是開發(fā)人員開發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補(bǔ)牢查找問題。安全性(包括API安全性)需要成為產(chǎn)品設(shè)計(jì)的一部分，并且應(yīng)作為首要考慮因素之一加以實(shí)現(xiàn)，而不是事后填坑。

解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要第一步。請記住，API使攻擊者能更高效地攻擊或利用您的系統(tǒng)。設(shè)計(jì)安全性的目標(biāo)是讓API成為用戶而非攻擊者的高效工具。

以上只列舉了一些常見的API漏洞，總之，最重要的是在軟件開發(fā)生命周期的早期階段就討論安全問題。微小的改進(jìn)就可以帶來巨大的好處，避免API遭攻擊造成的巨大財(cái)務(wù)和品牌損失。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文