應(yīng)用編程接口(API)是現(xiàn)代Web應(yīng)用程序開發(fā)的一個(gè)重要部分，它們?cè)谡麄€(gè)Web攻擊面中占有相當(dāng)大的比重。在現(xiàn)實(shí)世界中，企業(yè)進(jìn)行Web應(yīng)用程序安全測(cè)試時(shí)覆蓋整個(gè)攻擊面，同時(shí)又滿足測(cè)試準(zhǔn)確性和工作流高效集成之類的需求，是一項(xiàng)艱巨的任務(wù)?，F(xiàn)代應(yīng)用程序遠(yuǎn)不止一堆網(wǎng)頁，它們是通過API進(jìn)行聯(lián)系的一堆復(fù)雜的Web服務(wù)。那么，如何確保這些Web API的安全呢?

不僅僅保護(hù)可見網(wǎng)頁

測(cè)試軟件安全的方法有多種，但任何AppSec(現(xiàn)代應(yīng)用程序安全)工具箱都應(yīng)該起碼包括動(dòng)態(tài)測(cè)試(DAST，即漏洞掃描)，并結(jié)合定期滲透測(cè)試。這讓企業(yè)可以真實(shí)全面地洞察安全狀況，因?yàn)槠髽I(yè)探測(cè)應(yīng)用程序環(huán)境所使用的方法和入口點(diǎn)與惡意黑客所使用的一樣。所有潛在的入口點(diǎn)共同構(gòu)成了企業(yè)的攻擊面，這包括用戶界面和所有暴露的API。

從外部檢查Web應(yīng)用程序時(shí)，第一步是運(yùn)行爬蟲工具，以發(fā)現(xiàn)需要測(cè)試的所有對(duì)象。這時(shí)候，網(wǎng)站與Web API的第一個(gè)重大區(qū)別體現(xiàn)出來：企業(yè)無法像抓取網(wǎng)頁那樣抓取API。要確保在應(yīng)用程序環(huán)境中全面測(cè)試所有Web API，有效方法是始終擁有最新的API定義，而這些定義由企業(yè)的開發(fā)人員創(chuàng)建和維護(hù)。

在含有成千上萬個(gè)API端點(diǎn)的大型開發(fā)環(huán)境中，企業(yè)每次需要進(jìn)行漏洞掃描時(shí)都向開發(fā)人員索要API定義文件不切實(shí)際，特別是在開發(fā)管道高度自動(dòng)化、任何手動(dòng)干預(yù)都花費(fèi)寶貴時(shí)間的情形下更是如此。切合實(shí)際的方法是，將API定義文件自動(dòng)存儲(chǔ)到中央位置，并自動(dòng)更新，集成式漏洞掃描工具可以在每次掃描之前獲取這些定義文件。然而要在安全測(cè)試工作流程中充分利用這些數(shù)據(jù)，企業(yè)需要一套自動(dòng)化應(yīng)用程序安全測(cè)試解決方案，該解決方案不僅能與軟件開發(fā)生命周期(SDLC)集成，還能針對(duì)相關(guān)類型的API進(jìn)行漏洞測(cè)試。

確保API成為安全SDLC的必要部分

當(dāng)下，Web應(yīng)用程序通過API發(fā)送的數(shù)據(jù)遠(yuǎn)多于通過用戶界面發(fā)送的數(shù)據(jù)，因此應(yīng)用程序安全測(cè)試必須跟上步伐，否則可能會(huì)使Web應(yīng)用程序的攻擊面更容易受到攻擊。即使是內(nèi)部API也常常被攻擊者訪問，因?yàn)橹苯舆M(jìn)入保存敏感數(shù)據(jù)的后端系統(tǒng)通道敞露無遺。除此之外，API專為靜態(tài)的自動(dòng)訪問而設(shè)計(jì)，因此它們更容易在不引起懷疑的情況下被探測(cè)。

網(wǎng)絡(luò)犯罪分子知道這一切，他們正將注意力轉(zhuǎn)移到API攻擊上，企圖從最不安全的Web API和服務(wù)下手，以直接訪問敏感數(shù)據(jù)或執(zhí)行未經(jīng)身份驗(yàn)證的操作。由于現(xiàn)在企業(yè)構(gòu)建的眾多Web應(yīng)用程序是可視化前端，與后端系統(tǒng)上運(yùn)行的數(shù)百個(gè)自主Web服務(wù)進(jìn)行聯(lián)系，繞過用戶界面、徑直訪問數(shù)據(jù)似乎是網(wǎng)絡(luò)犯罪分子的不二之選，針對(duì)API的攻擊確實(shí)日益猖獗。

為避免企業(yè)的網(wǎng)絡(luò)安全出現(xiàn)巨大盲區(qū)，明確包括API漏洞測(cè)試的AppSec計(jì)劃是重要的方法，這也是確保AppSec卓有成效的一個(gè)關(guān)鍵要求，一些廠商可以將Web API漏洞測(cè)試無縫整合到企業(yè)的安全SDLC中。

參考鏈接：

https://www.netsparker.com/blog/web-security/avoid-api-blind-spots-in-web-application-security-testing-announcing-white-paper/