技术主题
什么是 API 安全?
概述
API(应用程序编程接口)是数字化转型战略的关键组成部分,而确保这些 API 的安全则是一项首要挑战。API 是一个快速增长的攻击面,但并没有得到广泛的理解,可能会被开发人员和应用安全管理人员忽视。
应用程序接口安全
请听OWASP API 安全项目的介绍:"API 是现代移动、SaaS 和网络应用程序的重要组成部分,可在面向客户、合作伙伴和内部应用程序中找到。从本质上讲,API 暴露了应用程序逻辑和敏感数据,如个人身份信息 (PII),因此日益成为攻击者的目标。没有安全的 API,就不可能实现快速创新。
基于应用程序接口的应用程序有何不同?
同样来自 OWASP:
- 服务器更多地被用作数据的代理。
- 渲染组件是客户端,而不是服务器。
- 客户端消耗原始数据。
- 应用程序接口揭示了应用程序的底层实现。
- 用户状态通常由客户端维护和监控。
- 每个 HTTP 请求都会发送更多参数(对象 ID、过滤器)。
API 安全与一般应用程序安全有何不同?
应用程序接口安全》侧重于减轻应用程序接口独特安全风险的策略。传统的漏洞在基于 API 的应用程序中并不常见:
- SQLi - 越来越多地使用 ORM。
- CSRF - 以授权标头代替 cookie。
- 路径操作 - 基于云的存储。
- 经典 IT 安全问题 - SaaS。
API 安全性为何重要?
API 安全非常重要,因为企业使用 API 连接服务和传输数据,因此 API 被黑客攻击可能导致数据泄露。
应用程序接口使用率持续上升
2021 年 12 月,Cloudflare 报告称,API 调用占总请求的 54%,从 2021 年 2 月到 12 月增加了 21%。攻击者已经注意到这一点,并加大了对 API 的关注。
API 安全测试是Gartner 应用程序安全测试 MQ核心功能的一部分。
API 已成为现代应用程序(如单页面或移动应用程序)的重要组成部分,但传统的 AST 工具集可能无法对其进行全面测试,因此需要专门的工具和功能。在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持对运行中的 API 进行测试的能力,都是典型的功能。
什么是 OWASP API 安全 10 强?
OWASP 最近公布了 API 安全十大候选发布版本。了解有关OWASP API 安全项目的更多信息。以下是十大安全项目:
- API1 - 受破坏的对象级授权
- 应用程序接口2- 用户身份验证被破坏
- API3 - 数据暴露过多
- API4 - 缺乏资源和速率限制
- API5 - 功能级授权被破坏
- API6 - 批量分配
- API7 - 安全配置错误
- API8 - 注射
- API9 - 资产管理不当
- API10 - 记录和监控不足
Fortify 有助于提高应用程序接口的安全性
- 攻击面覆盖范围- 在测试过程中自动发现新的和影子 API 端点,并通过 OpenAPI、Swagger、Odata 或 WSDL 架构识别端点的范围。
- API 身份验证 - API 身份验证多种多样,非常复杂。Fortify 支持几乎所有类型的承载令牌和实现方式。
- 漏洞检测- 不断扩大 API 特定漏洞的覆盖范围,这些漏洞会影响不记名令牌或 GraphQL 自省等领域。
- 扫描自动化--通过 SaaS、托管或预置交付的企业级协调功能扩展 API 测试。
