烽火三十六技丨大话API安全系列之（一）鉴权风险分析与应对

API的主要安全问题集中在攻击绕过、权限提升和数据泄露等方面，本期我们将重点探讨API鉴权相关的风险。在介绍鉴权风险之前，首先可以看一下API的分类。

API（应用程序编程接口）的标准概念是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力。随着云计算、移动互联网、物联网的蓬勃发展，越来越多的开发平台和第三方服务快速涌现，应用系统与功能模块复杂性不断提升，应用开发深度依赖于API之间的相互调用。按照不同的角度划分，API接口可以概括为如下类型：

从安全的角度出发，由于API接口既能够起到连接服务的功能，又可以用来传输数据，因此API的安全防护至关重要。同时，目前面向互联网开放的应用服务类API，主要以HTTP协议通道来承载，因此Web类API是目前需要优先关注的类型，从下图的对比可以直观说明，API接口的开放将进一步缩短攻击路径。

接下来我们再看下Web类API接口常用的几种鉴权设计：

最传统的API鉴权方式，用户登录成功后，服务端会生成一个session来保持状态，每个session都有唯一的session_id存储在客户端的cookie中，可以用来标识用户登录信息，这样客户端每次访问都带着session_id，服务端就可以做鉴权判断了。这种方式实现简单但性能不高，而且cookie可以被劫持篡改，主要适用于传统的web网站。

API密钥指的是服务器为每个客户端生成一对API Key/API Secret并告知客户端，客户端请求时需要携带这些密钥，只有资源、API Key和API Secret都匹配才可以访问服务器的资源。这类鉴权方式实现相对简单，但密钥容易被截取和冒充，所以存储和管理非常重要，并且如果业务复杂，相应的维护工作量也会很大，所以更适用于做一些聚合类的数据获取。

OAuth是一个安全、开放的标准，可以提供相互认证的框架，通常存在用户端、服务端和第三方服务这三类角色，由用户端授权第三方服务使用自己的某些权限去访问服务端的资源，比如用自己的社交平台账号来快捷登录其他应用，或者让手机上的一个APP来共享访问其他应用数据。这类鉴权方式安全性更高，但设置相对复杂，并不适用于所有场景。

JSON Web Token是一种安全标准，可以发布令牌并对发布的令牌做接入验证，以此来实现对资源访问的权限控制。JWT是一种基于JSON格式的安全令牌，常用于需要携带额外信息的鉴权场景，比如单点登录。这类鉴权方式轻量级、可扩展性好，但是密钥一旦泄露，令牌可能会受到威胁。

不同的业务服务可以选择适用的接口鉴权方式，从开发者的视角而言，无论API的应用场景如何，通常也都会设计对应的鉴权机制，但从攻击者的视角而言，再严谨的权限设计仍然无法避免逻辑上可以利用的漏洞风险。

最后我们看几种常见的接口缺陷示例：

某APP用户管理API接口权限限制不严格，使用任意能通过认证的token，通过修改id值即可获取任意用户信息，通过该token亦可随意调用其他API接口获取非授权用户信息。

某系统数据查询API接口未对查询条件和权限进行限制，基于已认证token，通过修改API接口传输参数的pageSize值，即可获取指定数量级的数据，造成敏感数据批量泄露。

某平台程序调用API接口可用于查询账户信息、订单信息等敏感数据，但未对前端应用做强鉴权限制，第三方应用可以违规调用该接口并售卖数据非法获利。

类似的风险案例不在少数，由此可见，即使开发者可以做不同安全级别的API接口权限控制，也可以借助API网关执行严格的发布管理，但攻击者往往只需要找到一个逻辑漏洞作为突破口即可达成目的，因此，从防守者的角度而言，清晰的API接口画像和行为分析是识别API鉴权风险的前提。

通过API接口学习与状态监控，对接口及其鉴权情况进行分析。

鉴权要素识别：检查接口请求中是否有token、cookie等鉴权要素。

接口属性画像：识别接口属性，如系统登录、数据查询、数据操作、功能调用等。

通过对API接口请求与响应记录的智能分析，快速识别鉴权风险。

未鉴权风险分析：识别接口无鉴权要素但执行敏感调用的情况，判定为未鉴权风险。

弱鉴权风险分析：识别接口可随机数token访问、同源多token访问等情况，判定为弱鉴权风险。

针对可能存在的未鉴权或弱鉴权安全风险，通过灵活的访问控制策略来进行加固保护。

白名单策略：基于源地址、referer、cookie等条件设定白名单策略，限制非法访问。

多条件策略：按照源地域、接口、请求类型等条件设定组合策略，执行细粒度的接口访问控制。