應(yīng)用程序編程接口 (API) 已成為將當(dāng)今APP經(jīng)濟的粘合劑，同時也正在成為黑客攻擊的頭號目標(biāo)。API的運行方式與URL的運行方式大致相同，用戶使用Web搜索時，頁面展示結(jié)果是動態(tài)的，以手機銀行應(yīng)用程序為例，API也以類似的方式運行，它可以獲取用戶的姓名、賬號和賬戶余額，并相應(yīng)地填充交互頁面中的字段。但API更容易受到攻擊者的青睞，因為API包括所有安全檢查，并且通常直接與后端服務(wù)通信。

[[420961]]

應(yīng)用程序安全方面一直存在一個問題：輸入驗證。如果沒有適當(dāng)?shù)墓δ芎桶踩珳y試，API可能會成為一個完美的攻擊點。因為API受應(yīng)用程序信任，可以進(jìn)行高速、海量數(shù)據(jù)交換。

三類常見的API漏洞

通過對大量應(yīng)用程序安全市場客戶的調(diào)查，并參考開放Web應(yīng)用程序安全項目 (OWASP) 后，調(diào)查人員匯總了以下三類最常見的API漏洞：

1.Broken Object Level Authorization (BOLA)

BOLA的通俗定義是對對象訪問請求的驗證不充分，它允許攻擊者通過重用訪問令牌來執(zhí)行未經(jīng)授權(quán)的操作。Peloton事件是最近諸多BOLA利用中比較有名的一個案例，攻擊者可以查看包括標(biāo)有私人事件在內(nèi)的，幾乎所有用戶的個人資料。此類攻擊可能影響到從開發(fā)到運營，再到營銷和公共關(guān)系的每個業(yè)務(wù)組。

2.無效的用戶身份驗證

此類漏洞的準(zhǔn)確定義是“身份驗證機制中的實施缺陷”，允許攻擊者冒充合法用戶。這里關(guān)聯(lián)兩種常見的漏洞利用類型：第一個是由自動化機器人執(zhí)行的憑證填充。查找有用戶身份驗證缺陷的API是自動攻擊的理想目標(biāo)。此漏洞的更復(fù)雜用途是進(jìn)行偵察，以確定API的工作方式。例如我們輸入“a@a.com /”密碼的用戶名/密碼組合，應(yīng)用程序顯示“密碼無效”，那么攻擊者就會知道用戶名是有效的。攻擊者將使用此數(shù)據(jù)點來增加憑證填充(或其他類型的攻擊)成功的機會。

3.資產(chǎn)管理不當(dāng)

此API缺陷是環(huán)境隔離和管理不足的結(jié)果，允許攻擊者訪問安全性不足的API端點。在農(nóng)機企業(yè)約翰迪爾的安全事件中，可能就是由于開發(fā)人員API無需編輯即可訪問生產(chǎn)數(shù)據(jù)，進(jìn)而暴露了約翰迪爾客戶的系統(tǒng)。屬于此類別的其他漏洞還包括未監(jiān)控開發(fā)API中的敏感數(shù)據(jù)，以及讓已棄用的仍API處于在線或公開狀態(tài)。

目前API安全事件層出不窮，無論企業(yè)用戶使用的是API 優(yōu)先方法，還是剛剛開始由API 輔助的數(shù)字化轉(zhuǎn)型之旅，了解API存在的漏洞以及相關(guān)風(fēng)險都是至關(guān)重要的。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文