API(應用程式程式設計介面)是數位化轉型戰略的關鍵部分,保護這些 API 是一項最大的挑戰。API 是一個快速增長的攻擊面,尚未被廣泛理解,並且可能被開發人員和應用程式安全經理忽視。
以 OWASP API 安全專案為例:“API 是現代移動、SaaS 和 Web 應用程式的關鍵部分,可以在面向客戶、面向合作夥伴和內部應用程式中找到。從本質上講,API 會公開應用程式邏輯和敏感數據,例如個人身份資訊 (PII),因此越來越成為攻擊者的目標。沒有安全的API,就不可能實現快速創新。
同樣,來自 OWASP:
API 安全側重於降低 API 獨特安全風險的策略。傳統漏洞在基於 API 的應用中不太常見:
API 安全性很重要,因為企業使用 API 來連接服務和傳輸數據,因此被駭客入侵的 API 可能導致數據洩露。
2021 年 12 月,Cloudflare 報告稱, API 調用佔總請求的 54%,從 2021 年 2 月到 12 月增加了 21%。攻擊者已經注意到並增加了對 API 的關注。
API 安全測試是 Gartner MQ for Application Security Testing 核心功能的一部分。
API 已成為現代應用程式(例如單頁或移動應用程式)的重要組成部分,但傳統的 AST 工具集可能無法完全測試它們,因此需要專門的工具和功能。在開發和生產環境中發現 API 並測試 API 原始程式碼的能力,以及引入記錄的流量或 API 定義以支援測試正在運行的 API 的能力是典型的功能。
OWASP 最近宣佈了 API 安全 Top 10 候選版本。閱讀有關 OWASP API 安全專案的更多資訊。以下是前10名:
精準防守,信心十足
解鎖安全測試、漏洞管理以及量身定製的專業知識和支援
及早發現並修復安全問題,獲得業內最準確的結果
識別已部署的 Web 應用程式和服務中的漏洞
啟用跨平台的單一登入和存取控制