什麼是 API 安全性？

API（應用程式程式設計介面）是數位化轉型戰略的關鍵部分，保護這些 API 是一項最大的挑戰。API 是一個快速增長的攻擊面，尚未被廣泛理解，並且可能被開發人員和應用程式安全經理忽視。

以 OWASP API 安全專案為例：“API 是現代移動、SaaS 和 Web 應用程式的關鍵部分，可以在面向客戶、面向合作夥伴和內部應用程式中找到。從本質上講，API 會公開應用程式邏輯和敏感數據，例如個人身份資訊 （PII），因此越來越成為攻擊者的目標。沒有安全的API，就不可能實現快速創新。

---

基於 API 的應用程式有何不同？

同樣，來自 OWASP：

• 伺服器更多地用作數據的代理。
• 渲染元件是用戶端，而不是伺服器。
• 用戶端使用原始數據。
• API 公開應用的基礎實現。
• 用戶的狀態通常由客戶端維護和監視。
• 在每個 HTTP 請求中發送更多參數（物件 ID、過濾器）。

---

API 安全與一般應用程式安全有何不同？

API 安全側重於降低 API 獨特安全風險的策略。傳統漏洞在基於 API 的應用中不太常見：

• SQLi – 增加 ORM 的使用。
• CSRF – 授權標頭而不是 cookie。
• 路徑操作 – 基於雲的存儲。
• 經典IT安全問題 - SaaS。

---

為什麼 API 安全很重要？

API 安全性很重要，因為企業使用 API 來連接服務和傳輸數據，因此被駭客入侵的 API 可能導致數據洩露。

---

API 使用率持續上升

2021 年 12 月，Cloudflare 報告稱， API 調用佔總請求的 54%，從 2021 年 2 月到 12 月增加了 21%。攻擊者已經注意到並增加了對 API 的關注。

API 安全測試是 Gartner MQ for Application Security Testing 核心功能的一部分。

API 已成為現代應用程式（例如單頁或移動應用程式）的重要組成部分，但傳統的 AST 工具集可能無法完全測試它們，因此需要專門的工具和功能。在開發和生產環境中發現 API 並測試 API 原始程式碼的能力，以及引入記錄的流量或 API 定義以支援測試正在運行的 API 的能力是典型的功能。

---

OWASP API 安全前 10 名是什麼？

OWASP 最近宣佈了 API 安全 Top 10 候選版本。閱讀有關 OWASP API 安全專案的更多資訊。以下是前10名：

• API1 - 損壞的物件級授權
• API2 - 使用者身份驗證損壞
• API3 - 數據洩露過多
• API4 - 缺乏資源和速率限制
• API5 - 函數級授權中斷
• API6 - 品質分配
• API7 - 安全配置錯誤
• API8 - 注射
• API9 - 資產管理不當
• API10 - 紀錄記錄和監控不足

---

Fortify 有助於提高 API 安全性

API 安全性 Fortify:

• 攻擊面覆蓋範圍 – 在測試期間自動發現新的和影子 API 端點，並使用 OpenAPI、Swagger、Odata 或 WSDL 架構識別端點的廣度。
• API 身份驗證 – API 身份驗證是多種多樣且複雜的。 Fortify 支援幾乎所有類型的持有者令牌和實現。
• 漏洞檢測 – 不斷擴大對特定於 API 的漏洞的覆蓋範圍，這些漏洞會影響持有者令牌或 GraphQL 自檢等領域。
• 掃描自動化 – 通過 SaaS、託管或本地提供的企業級編排來擴展 API 測試。