譯者 | 布加迪

審校 | 孫淑娟

API安全威脅始終是個問題。API安全好比開車。發(fā)布之前，您必須謹慎行事，仔細審查各個環(huán)節(jié)。不然，您將會把自己和他人置于險境之中。

API攻擊比其他攻擊更危險。Facebook的5000萬用戶帳戶曾受到API攻擊的影響，Hostinger帳戶遭到的API數(shù)據攻擊泄露了1400萬條客戶記錄。

如果黑客闖入您的API端點，可能會給您的項目帶來災難。不安全的API可能會讓您陷入困境，這視具體的行業(yè)和地區(qū)而定。尤其在歐盟，如果您為銀行服務，倘若被發(fā)現(xiàn)使用不安全的API，您可能面臨嚴重的法律和合規(guī)問題。

為了減輕這些風險，您需要了解網絡犯罪分子可以利用的潛在API漏洞。

一、六種經常被忽視的API安全風險

1、對API缺乏可見性和監(jiān)控意味著“風險”

如果您逐步使用基于云的網絡，所使用的設備和API的數(shù)量也隨之增加。這也將導致對您在企業(yè)內部或外部泄露哪些API缺乏可見性。

影子、隱藏或棄用的API不被安全團隊了解，為攻擊者針對未知的 API、API參數(shù)和業(yè)務邏輯發(fā)動成功的網絡攻擊創(chuàng)造了更多機會。API網關等傳統(tǒng)工具無法完整地列出所有API。

一定要有API可見性，包括如下：

• 集中式可見性以及列出所有API的清單
• API流量的詳細視圖
• 對傳輸敏感信息的API擁有可見性
• API風險自動分析，附有預定義的標準

2.API功能不足

關注您的API調用對于避免向API傳遞重復的請求很重要。如果兩個部署的API試圖使用同一個URL，可能會導致重復和冗余的API使用問題。這是由于兩個API上的端點使用同一個URL。為了避免這種情況，每個API都應該有自己的唯一URL，并加以優(yōu)化。

3.服務可用性威脅

在僵尸網絡的幫助下，針對性的DDoS API攻擊可以使API服務器的CPU周期和處理器能力超載，發(fā)送帶有無效請求的服務調用，從而使服務器無法用于合法流量。DDoS API攻擊不僅針對運行API的服務器，還針對每個API端點。

速率限制讓您有信心保持應用程序健康運行，而良好的響應計劃隨帶多層安全解決方案，比如AppTrana的API保護。準確、全面托管的API保護可以持續(xù)監(jiān)控API流量，并在抵達服務器之前立即阻止惡意請求。

4.因API的使用而猶豫不決

B2B公司經常需要向組織外面的團隊公布內部API使用方面的數(shù)字。這可能非常有助于促進協(xié)作，允許其他人訪問您的數(shù)據和服務。但是有必要仔細考慮您允許誰訪問您的API，以及對方需要什么樣的訪問級別。您不希望過于廣泛地開放API，造成安全風險。

在合作伙伴或客戶之間共享API調用時，需要對其密切監(jiān)控。這有助于確保每個人都按預期使用API，系統(tǒng)沒有不堪重負。

5.API注入

API注入這個術語用來描述惡意代碼連同API請求被注入。注入的命令執(zhí)行后，甚至可以從服務器刪除用戶的整個站點。API易受這個風險影響的主要原因是，API開發(fā)人員未能在輸入內容出現(xiàn)在API代碼中之前加以清理。

這個安全漏洞給用戶帶來了嚴重問題，包括身份盜用和數(shù)據泄露，因此意識到該風險至關重要。在服務器端添加輸入驗證機制，以防止注入攻擊，并避免執(zhí)行特殊字符。

6.通過API攻擊物聯(lián)網設備

可以在多大程度上鉆物聯(lián)網的“空子”取決于API安全管理水平；如果沒有這種安全管理，您將很難使用物聯(lián)網設備。

隨著時間的推移和技術的進步，黑客總是會使用新的方法來利用物聯(lián)網產品中的漏洞。雖然API支持強大的可擴展性，但它們?yōu)楹诳驮L問物聯(lián)網設備上的敏感數(shù)據打開了新入口。為了避免物聯(lián)網設備面臨的許多威脅和挑戰(zhàn)，API必須更安全。

因此，您需要給物聯(lián)網設備打上最新的安全補丁，確保它們免受最新威脅的侵害。

二、實施WAAP，降低API風險

當下，許多組織不斷受到API攻擊的威脅。每天都有新的漏洞出現(xiàn)，因此有必要定期檢查所有API是否存在潛在威脅。Web應用程序安全工具不足以保護貴公司免受這類風險。要使API保護發(fā)揮功效，它就要完全致力于API安全。Web應用程序和API保護（WAAP）系統(tǒng)是這方面切實有效的解決方案。

原文鏈接：https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html