B/S框架的从业者，应该注意的API安全风险Top10

API已成为构建和连接现代应用程序的事实标准。就目前而言，越来越多的应用程序转向基于微服务的架构更是助推了这一趋势。因此，确保公司开放Web应用程序免受API安全风险的侵扰至关重要。本文盘点API安全风险Top10，帮您掌握更多相关知识，从而更好地保护API安全。

1.失效的对象级授权：当客户端的授权没有经过正确验证便可访问特定对象ID时，就会出现这种漏洞。

2.失效的身份验证：身份验证过程中的大量漏洞均与此相关，这种安全风险导致系统暴露在攻击者面前，使攻击者能够利用这些漏洞来破坏API对象防护机制。

3.失效的对象属性级授权：在这类安全漏洞中，API端公开的数据属性不必要地超过了其发挥功能所需的数量，违背了最小特权原则。

4.不受限制的资源消耗：这类漏洞有时也称为API资源耗尽，API不会限制给定时间内的请求数量或者所传输的数量。

5.失效的功能级授权：在API端点的访问控制模型实施不正确时，就有可能发生。

6.不受限制的敏感业务流访问：在API公开关键操作（如业务逻辑）而又没有足够的访问控制措施时，就会出现这种风险。

7.服务器端请求伪造（SSRF）：通过SSRF，攻击者可诱导服务器端应用程序向其选定任意域发出HTTPS请求。

8.安全配置错误：这是指安全控制措施设置有误，从而造成系统容易受到攻击。

9.不当的资产管理：这是每个管理API的公司都面临的一项挑战。API安全解决方案可以保护已知API,但未知API（包括弃用，遗留的或过时API）可能没有得到修补，容易遭受攻击。

10.不安全的API使用：此风险涉及到在未来实施适当的安全措施情况下使用第三方API。

失效的对象级授权与失效的对象属性级授权区别

1. 失效的对象级授权是指API的整个对象。

2. 失效的对象属性级授权是指API对象中的一个属性值。

如：

服务器端请求伪造（SSRF）

服务器端请求伪造（Server-Side Request Forgery，SSRF）是一种利用web应用程序或API中的漏洞，允许攻击者从服务器向其他内部或外部系统发出未经授权的请求的攻击类型。以下是保护API免受SSRF攻击的建议措施：

1. 输入验证和过滤：对于接收URL参数的API，进行输入验证和过滤操作，确保传入的URL参数是合法且可信的。可以使用白名单机制，只允许访问预定义的目标URL。

2. 限制协议和端口：限制API发起请求的协议和端口范围，防止恶意用户通过构造特殊的URL请求访问不应该被访问的资源。可以仅允许访问HTTP和HTTPS协议，并限制常用的非敏感端口。

3. 内部网络隔离：将API服务器与内部网络进行适当的隔离，以减少对内部系统和服务的直接访问。采用安全的网络架构和防火墙规则，限制API服务器的出站连接，避免发起对内部资源的非授权访问。

4. 接口权限：在设计API时，为每个接口设置适当的权限和访问控制策略。确保敏感接口仅对有权用户或角色开放，并使用合适的身份认证和授权机制对用户进行验证。

5. 安全配置：确保API服务器和相关组件的安全配置，包括操作系统、Web服务器、应用程序框架等。禁用或限制不必要的功能和协议（如本地文件访问、数据库连接等），以减少攻击面。

6. 日志监控：监控API的请求日志，特别关注异常的URL请求和来源IP地址。及时发现异常行为并进行响应，例如封禁恶意IP或阻止恶意请求。

7. 安全更新和补丁：定期更新和升级API服务器和相关软件，及时应用最新的安全补丁，修复已知漏洞和安全问题。

8. 安全培训和意识：通过定期的安全培训和意识活动，提高开发人员和管理员对SSRF攻击和其他安全威胁的认识，加强安全意识和代码质量。

对敏感业务流的无限制访问

建议采取以下措施来确保API的安全性：

1. 访问控制：实施严格的身份认证和授权机制，仅允许经过身份验证和授权的用户或应用程序使用敏感业务流API。可以使用API密钥、令牌或证书等方式进行身份验证，并设置访问权限和角色。

2. API防护：部署API网关或防火墙以保护API免受恶意攻击和未经授权的访问。API网关可以提供访问控制、流量限制、数据加密、DDoS防护等功能，确保API的可靠性和安全性。

3. 数据加密：对于传输敏感数据的API，使用HTTPS协议进行通信，并采用适当的加密算法来保护数据的机密性和完整性。

4. 输入验证：在处理API请求时，对输入参数进行有效性检查和过滤，以防止恶意用户通过输入来执行注入攻击或其他安全漏洞。

5. 审计和日志记录：记录API的访问日志和操作日志，以便进行安全审计和监测，及时发现异常行为和安全事件，并采取相应的响应措施。

6. 定期漏洞扫描：定期进行API的安全漏洞扫描和渗透测试，发现潜在的安全风险并及时修复。

7. 更新和升级：及时更新和升级API服务器和相关软件，以获取最新的安全修补程序和功能改进，提高系统的安全性和稳定性。

通过以上措施的综合应用，可以有效保护敏感业务流API的安全性，减少未经授权的访问和恶意攻击的风险

参考链接：https://www.akamai.com/blog/security/owasp-top-10-api-security-risks-2023-edition

原文始发于微信公众号（VLab安全实验室）：B/S框架的从业者，应该注意的API安全风险Top10