API(应用程序编程接口)是数字化转型战略的关键组成部分,而确保这些 API 的安全则是一项首要挑战。API 是一个快速增长的攻击面,但并没有得到广泛的理解,可能会被开发人员和应用安全管理人员忽视。
请听OWASP API 安全项目的介绍:"API 是现代移动、SaaS 和网络应用程序的重要组成部分,可在面向客户、合作伙伴和内部应用程序中找到。从本质上讲,API 暴露了应用程序逻辑和敏感数据,如个人身份信息 (PII),因此日益成为攻击者的目标。没有安全的 API,就不可能实现快速创新。
同样来自 OWASP:
应用程序接口安全》侧重于减轻应用程序接口独特安全风险的策略。传统的漏洞在基于 API 的应用程序中并不常见:
API 安全非常重要,因为企业使用 API 连接服务和传输数据,因此 API 被黑客攻击可能导致数据泄露。
2021 年 12 月,Cloudflare 报告称,API 调用占总请求的 54%,从 2021 年 2 月到 12 月增加了 21%。攻击者已经注意到这一点,并加大了对 API 的关注。
API 安全测试是Gartner 应用程序安全测试 MQ核心功能的一部分。
API 已成为现代应用程序(如单页面或移动应用程序)的重要组成部分,但传统的 AST 工具集可能无法对其进行全面测试,因此需要专门的工具和功能。在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持对运行中的 API 进行测试的能力,都是典型的功能。
OWASP 最近公布了 API 安全十大候选发布版本。了解有关OWASP API 安全项目的更多信息。以下是十大安全项目:
更智能、更简单的保护
解锁安全测试、漏洞管理以及量身定制的专业知识和支持
以业内最准确的结果及早发现并修复安全问题
识别已部署Web应用程序和服务中的漏洞
在移动、云和传统平台上实现单点登录和访问控制