技術主題

什麼是 API 安全性?

以問號為重點的 IT 項目圖示

概述

API(應用程式程式設計介面)是數位化轉型戰略的關鍵部分,保護這些 API 是一項最大的挑戰。API 是一個快速增長的攻擊面,尚未被廣泛理解,並且可能被開發人員和應用程式安全經理忽視。

API 安全

OWASP API 安全專案為例:“API 是現代移動、SaaS 和 Web 應用程式的關鍵部分,可以在面向客戶、面向合作夥伴和內部應用程式中找到。從本質上講,API 會公開應用程式邏輯和敏感數據,例如個人身份資訊 (PII),因此越來越成為攻擊者的目標。沒有安全的API,就不可能實現快速創新。


基於 API 的應用程式有何不同?

同樣,來自 OWASP:

  • 伺服器更多地用作數據的代理。
  • 渲染元件是用戶端,而不是伺服器。
  • 用戶端使用原始數據。
  • API 公開應用的基礎實現。
  • 用戶的狀態通常由客戶端維護和監視。
  • 在每個 HTTP 請求中發送更多參數(物件 ID、過濾器)。

API 安全與一般應用程式安全有何不同?

API 安全側重於降低 API 獨特安全風險的策略。傳統漏洞在基於 API 的應用中不太常見:

  • SQLi – 增加 ORM 的使用。
  • CSRF – 授權標頭而不是 cookie。
  • 路徑操作 – 基於雲的存儲。
  • 經典IT安全問題 - SaaS。

為什麼 API 安全很重要?

API 安全性很重要,因為企業使用 API 來連接服務和傳輸數據,因此被駭客入侵的 API 可能導致數據洩露。


API 使用率持續上升

2021 年 12 月,Cloudflare 報告稱, API 調用佔總請求的 54%,從 2021 年 2 月到 12 月增加了 21%。攻擊者已經注意到並增加了對 API 的關注。

API 安全測試是 Gartner MQ for Application Security Testing 核心功能的一部分。

API 已成為現代應用程式(例如單頁或移動應用程式)的重要組成部分,但傳統的 AST 工具集可能無法完全測試它們,因此需要專門的工具和功能。在開發和生產環境中發現 API 並測試 API 原始程式碼的能力,以及引入記錄的流量或 API 定義以支援測試正在運行的 API 的能力是典型的功能。


OWASP API 安全前 10 名是什麼?

OWASP 最近宣佈了 API 安全 Top 10 候選版本。閱讀有關 OWASP API 安全專案的更多資訊。以下是前10名:

  • API1 - 損壞的物件級授權
  • API2 - 使用者身份驗證損壞
  • API3 - 數據洩露過多
  • API4 - 缺乏資源和速率限制
  • API5 - 函數級授權中斷
  • API6 - 品質分配
  • API7 - 安全配置錯誤
  • API8 - 注射
  • API9 - 資產管理不當
  • API10 - 紀錄記錄和監控不足

Fortify 有助於提高 API 安全性

API 安全性 Fortify:

  • 攻擊面覆蓋範圍 – 在測試期間自動發現新的和影子 API 端點,並使用 OpenAPI、Swagger、Odata 或 WSDL 架構識別端點的廣度。
  • API 身份驗證 – API 身份驗證是多種多樣且複雜的。 Fortify 支援幾乎所有類型的持有者令牌和實現。
  • 漏洞檢測 – 不斷擴大對特定於 API 的漏洞的覆蓋範圍,這些漏洞會影響持有者令牌或 GraphQL 自檢等領域。
  • 掃描自動化 – 通過 SaaS、託管或本地提供的企業級編排來擴展 API 測試。

API 安全

立即開始

瞭解更多資訊

我們能提供什麼協助?

腳注