API NEWS | ​六大API安全风险

本周，我们带来的分享如下：

• 攻击者青睐的六大API安全风险

• 为什么你的API没有“衣服”

• 提高安全性和数据机密性的 API 安全测试指南

涉及 API 时，安全威胁始终是一个问题。API 安全可以比作开车。在将其发布到世界之前，必须谨慎并仔细审查所有内容。

Facebook 有一个 5000 万用户账户受到 API 泄露的影响，Hostinger 账户的 API 数据泄露暴露了 1400 万客户记录。

为了减轻这些风险，你需要了解一些潜在API 漏洞。

• API的不可见性和无监控 = 风险：如果不了解你拥有的 API 资产，就无法评估它们存在的风险，也无法进行充分保护。所以需要清点你的 API，进行生命周期管理，确保你跟踪和监控 API 处理的数据。

• 不胜任的API ：不好的 API 设计和实施可能会导致安全风险。

• 服务可用性威胁：机器人攻击对 API 的威胁越来越大，应采用保护（例如速率限制或机器人防御）来防止拒绝服务 (DoS) 攻击。

• 对 API 的使用犹豫不决：在急于发布新的业务功能和管理可能未经充分测试的新 API 所暴露的风险之间有一条细线。

• API 注入：与之前的 Web 应用程序一样，API 容易受到注入攻击，例如 SQL 注入、命令注入或 XML 注入。

• 通过 API 攻击 IoT 设备：IoT 设备依赖 API 进行互连，这些 API 可能容易受到攻击或没有积极维护和更新。

近期，SecurityBoulevard 发表了一篇关于 API 为何没有衣服的有趣文章——把API比做《皇帝的新衣服》中的主角。故事中，皇帝被揭穿，但没有人告诉他，也没有人愿意为此做任何事情。与你可能会发现自己使用 API 的情况有相同之处。

与以往一样，网络安全人才和技能的缺乏只会加剧这个问题，而这在 API 中最为明显。保护 Web 应用程序的许多经验教训不再适用于 API，团队需要学习新技能或调整他们的方法来保护 API。

• 验证

• 审计和日志记录

• 加密

分享一篇关于 API 安全测试如何提高 API 的安全性及其数据机密性的文章。

首先，你可以利用专门从事 API 渗透测试并具有识别 API 特定漏洞的技能和经验的渗透测试公司。通常，此类建议的技能包括检测损坏的身份验证和授权、业务逻辑测试、支付操作测试、安全配置错误和注入攻击。或者，您可以使用特定于 API 的工具。

• Assertible可以在 API 部署后对其执行自动化测试，以检查它们是否正确运行以及它们是否包含任何漏洞。这种测试方法侧重于底层 API 定义及其细节。

• Apache JMeter是一个 Web 应用程序负载测试框架，可用于执行 API 的负载和模糊测试。测试的重点更多地放在传入请求和流量负载以及错误处理上。

感谢 APIsecurity.io 提供相关内容