API流量約占全球互聯(lián)網(wǎng)流量的83%，是數(shù)字經(jīng)濟(jì)的“關(guān)鍵基礎(chǔ)設(shè)施”，同時也是最熱門的攻擊目標(biāo)之一。隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和人工智能技術(shù)的快速普及，API安全已經(jīng)成為當(dāng)下企業(yè)和互聯(lián)網(wǎng)面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)之一。

面對日趨惡化的API安全態(tài)勢，安全團(tuán)隊需要重點(diǎn)排查和緩解以下五個API關(guān)鍵漏洞：

1弱認(rèn)證

身份驗證用于核實用戶或設(shè)備是否是其聲稱的身份，防止沒有正確權(quán)限的人員或設(shè)備訪問信息和資源。如果身份驗證流程容易被繞過或入侵（例如弱密碼或容易猜到的密碼），攻擊者可以臨時甚至永久偽裝成合法用戶。

措 施

2錯誤的對象級授權(quán)

API通常公開用于訪問資源的對象。當(dāng)這些端點(diǎn)上沒有正確實施訪問控制時，攻擊者可以查看或操作他們不應(yīng)該訪問的資源。此漏洞影響所有類型的API架構(gòu)，包括SOAP、REST和GraphQL。

例如，攻擊者更改請求的用戶ID，以查看是否返回有關(guān)其他用戶的信息，這可能導(dǎo)致未經(jīng)授權(quán)訪問數(shù)據(jù)。值得注意的是，2019年Uber的API中發(fā)現(xiàn)了此漏洞，該API使司機(jī)只需更改用戶ID即可訪問其他司機(jī)的數(shù)據(jù)。如果數(shù)據(jù)修改函數(shù)也缺乏正確實施的授權(quán)檢查，攻擊者還可能更改或刪除數(shù)據(jù)，甚至完全接管另一個用戶的帳戶。

措 施

對象標(biāo)識符應(yīng)該是隨機(jī)且不可預(yù)測的，而不是可以輕松猜測的可預(yù)測的順序值。服務(wù)器端檢查還應(yīng)驗證以下內(nèi)容：

※用戶有權(quán)訪問請求的對象。

※用戶擁有對對象執(zhí)行特定操作所需的權(quán)限。

3注入漏洞

當(dāng)API收到用戶提交的數(shù)據(jù)但在處理請求之前未對其進(jìn)行分析和驗證時，攻擊者可以發(fā)送惡意數(shù)據(jù)或命令來觸發(fā)注入攻擊。數(shù)據(jù)庫查詢和操作系統(tǒng)命令都可以通過XML、JSON、跨站點(diǎn)腳本（XSS）、SQL和NoSQL注入來訪問數(shù)據(jù)或未經(jīng)授權(quán)執(zhí)行惡意命令。

措 施

與其創(chuàng)建自己的函數(shù)來驗證和清理傳入數(shù)據(jù)，不如調(diào)用專業(yè)白名單庫來確保數(shù)據(jù)是所需的類型和長度，對每個傳入請求運(yùn)行這些檢查，并刪除意外的字符、參數(shù)以及已知的注入命令。

4過多的數(shù)據(jù)暴露

數(shù)據(jù)暴露是API的常見漏洞，即API響應(yīng)請求時返回的數(shù)據(jù)遠(yuǎn)遠(yuǎn)多于完成請求所需的數(shù)據(jù)。這通常是因為開發(fā)人員編寫從表中返回整行數(shù)據(jù)的代碼比僅返回所需特定字段更簡單。例如，消息傳遞應(yīng)用程序上的個人資料頁面可能僅僅會顯示某人的姓名和年齡，但API請求往往會返回存儲的有關(guān)該用戶的所有信息，而不僅僅是根據(jù)其出生日期計算的該用戶的姓名和年齡。

盡管應(yīng)用程序可能會過濾響應(yīng)并僅顯示姓名和年齡，但攻擊者很容易讀取和收集請求中返回的其他詳細(xì)信息，包括個人身份信息，例如出生日期、電子郵件地址和位置。這種敏感數(shù)據(jù)的公開可能會違反數(shù)據(jù)訪問策略規(guī)則和相關(guān)數(shù)據(jù)安全法規(guī)。

措 施

API響應(yīng)僅返回滿足請求所需的數(shù)據(jù)，具體來說就是API進(jìn)行的數(shù)據(jù)庫查詢應(yīng)僅獲取相關(guān)記錄和字段。API文檔應(yīng)說明滿足請求所需的數(shù)據(jù)，確保數(shù)據(jù)庫查詢與請求的字段和記錄匹配。請記住，客戶端應(yīng)用只能篩選用戶可見的數(shù)據(jù)，而不能篩選它接收的數(shù)據(jù)。

5安全配置錯誤

API運(yùn)行在復(fù)雜的基礎(chǔ)架構(gòu)上，資源配置會根據(jù)需求自動擴(kuò)展和縮減。如果未在每一層正確配置安全控制，則敏感數(shù)據(jù)和系統(tǒng)可能會面臨風(fēng)險。常見的錯誤配置包括未修補(bǔ)的設(shè)備和應(yīng)用程序、不安全的默認(rèn)配置、未加密的數(shù)據(jù)傳輸以及開放和不安全的云存儲和服務(wù)。

措 施

API應(yīng)僅公開HTTPS端點(diǎn)。但是，由于HTTPS端點(diǎn)對互聯(lián)網(wǎng)開放，因此正確設(shè)置速率限制，控制請求速率和請求的資源數(shù)量也很重要，否則將受到DoS和暴力攻擊。禁用未使用的HTTP方法（如TRACE），并添加相應(yīng)的HTTP響應(yīng)安全標(biāo)頭，如X-Content-Type-Options：nosniff，以防止XSS和X-Frame-Options：deny以防止點(diǎn)擊劫持嘗試。此外，API請求生成的任何錯誤消息都應(yīng)僅包含最少的信息，以確保不會泄露有關(guān)系統(tǒng)的敏感數(shù)據(jù)，例如關(guān)于錯誤的詳細(xì)技術(shù)信息。