应用程序编程接口 (API) 在 Web 和移动应用程序开发中发挥着关键作用,企业现在严重依赖它们来构建他们的产品和服务。这并不奇怪,因为 API 允许开发人员与任何现代技术集成,从而提供客户所需的功能。
RapidAPI 调查 显示,API 的采用率有所提高,各行各业的公司都在优先考虑参与 API 经济——“在大流行期间,许多公司迅速加快了数字化转型之旅。因此,他们对软件开发,特别是 API 经济的投资继续增加是有道理的,” RapidAPI 首席执行官 Iddo Gino 说。
这个闸门打开了更广泛的攻击面并增加了 API 攻击的风险——使API 安全成为重中之重。那么,什么是 API 安全性以及我们为什么需要 API 保护?
什么是 API 安全性?
API 安全涉及实施策略和程序以减轻 API(应用程序编程接口)的漏洞和安全威胁。
它位于三个广泛的安全领域的交汇处:
API 安全还处理安全问题,包括内容验证、访问控制、速率限制、监控和分析、节流、数据安全和基于身份的安全。随着敏感数据通过 API 传输,安全的 API 可以保证其处理的消息的机密性,方法是让具有适当使用权限的应用程序、用户和服务器可以使用它。同样,它还通过确保消息在传输后未被更改来保证内容完整性。
API 安全性有多重要?
随着网络犯罪分子继续利用易受攻击的技术、流程和人员,他们现在正在将攻击转移到“传统”目标之外。随着 API 在外部应用程序、物联网和移动应用程序之上扩展到微服务和云,攻击者现在将他们的操作重点放在 API 上。API 已成为新的攻击前沿,这些统计数据也强调了这一点:
按照设计,应用程序编程接口并非不安全,但是,部署的大量 API 给安全团队带来了挑战。此外,API 开发技能不足以及未能整合 Web 和云 API 安全规则可能会导致 API 易受攻击。可以在各个领域观察到 API 漏洞,例如数据暴露、拒绝服务、授权缺陷、安全错误配置、端点(虚拟环境、设备、服务器等)。
易受攻击的 API 会引发重大漏洞。它们很容易被利用,并让黑客可以访问敏感的医疗、财务和个人数据。由于暴露于不安全的 API,我们已经在几家知名公司看到了各种违规行为。Salesforce、T-Mobile、SolarWinds、Peloton 和 USPS 等等。
同样,攻击者可以使用各种其他技术来滥用 API。如果 API 未得到适当保护,以下是一些可能发生的攻击:
1. 中间人攻击(MITM)
当消息传输未签名或加密或安全会话设置存在问题时,API 容易受到中间人攻击。如果 API 不使用 SSL/TLS,则 API 和客户端之间的所有消息传输都可能受到损害。攻击者可以更改机密数据,例如会话标识符、个人身份信息等。如果配置不当或客户端未验证安全会话,即使使用 SSL/TLS 加密的 API 也会面临风险。如果攻击者捕获会话令牌,他们可以获得对包含大量个人和敏感信息的用户帐户的访问权限。
2. 注入攻击
当 API 开发人员没有仔细地将输入限制为预期类型时,可能会发生 API 注入攻击。在这种攻击中,黑客通过 API 请求将脚本发送到应用程序服务器以获取对软件的访问权限。
3. 被盗认证攻击
与注入攻击一样,企业也应该关注允许攻击者直接访问其客户记录和数据的漏洞。配置了不正确的身份验证机制的 API 很容易受到这种攻击,并使黑客能够劫持用户的身份和 API 的访问控制。黑客还可以尝试暴力攻击来破坏弱身份验证过程。
4. DDoS(分布式拒绝服务)攻击
API 端点是 DDoS 的新攻击媒介。攻击者将机器人指向 API,并在一定时间内在端点发出一系列高频请求。请求的容忍度超过了目标的响应能力,导致合法用户无法访问。边缘保护和带有 WAAP (Web 应用程序和 API 保护)的 Web 应用程序防火墙是针对 DDoS 攻击的 API 保护的正确选择。
AppTrana WAAP 的高级 API 安全性
对于需要比传统技术提供更好的资源和工具来发现 API 漏洞和执行安全扫描的企业而言,API 保护目前是一个挑战。他们还需要积累合适的人才,以便在攻击者之前检测 API 安全风险。
Indusface Apptrana 是一种基于风险的 WAAP,它 使用签名识别、以安全为中心的监控、SSL 和 TLS 证书以及其他安全方法来阻止 API 滥用的企图。
总结
API 攻击有多种形式,包括逆向工程、会话重放和欺骗。API 滥用不仅限于这些 API 攻击,还有更多,攻击者将来可以发现更多的攻击。无论您的企业在采用 API 的道路上进展如何,您的目标都应该是创建可靠的 API 安全策略并正确管理它们!
