好色先生TV

技术主题

什么是 API 安全?

以问号为重点的信息技术项目图示

概述

API(应用程序编程接口)是数字化转型战略的关键组成部分,而确保这些 API 的安全则是一项首要挑战。API 是一个快速增长的攻击面,但并没有得到广泛的理解,可能会被开发人员和应用安全管理人员忽视。

应用程序接口安全

请听的介绍:"API 是现代移动、SaaS 和网络应用程序的重要组成部分,可在面向客户、合作伙伴和内部应用程序中找到。从本质上讲,API 暴露了应用程序逻辑和敏感数据,如个人身份信息 (PII),因此日益成为攻击者的目标。没有安全的 API,就不可能实现快速创新。


基于应用程序接口的应用程序有何不同?

同样来自 OWASP:

  • 服务器更多地被用作数据的代理。
  • 渲染组件是客户端,而不是服务器。
  • 客户端消耗原始数据。
  • 应用程序接口揭示了应用程序的底层实现。
  • 用户状态通常由客户端维护和监控。
  • 每个 HTTP 请求都会发送更多参数(对象 ID、过滤器)。

API 安全与一般应用程序安全有何不同?

应用程序接口》侧重于减轻应用程序接口独特安全风险的策略。传统的漏洞在基于 API 的应用程序中并不常见:

  • SQLi - 越来越多地使用 ORM。
  • CSRF - 以授权标头代替 cookie。
  • 路径操作 - 基于云的存储。
  • 经典 IT 安全问题 - SaaS。

API 安全性为何重要?

API 安全非常重要,因为公司使用 API 连接服务和传输数据,因此 API 被黑客攻击可能导致数据泄露。


应用程序接口使用率持续上升

2021 年 12 月,Cloudflare 报告称,攻击者已经注意到这一点,并加大了对 API 的关注。

API 安全测试是安全核心功能的一部分。

API 已成为现代应用程序(如单页面或移动应用程序)的重要组成部分,但传统的 AST 工具集可能无法对其进行全面测试,因此需要专门的工具和功能。在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持对运行中的 API 进行测试的能力,都是典型的功能。


什么是 OWASP API 安全 10 强?

OWASP 最近公布了 API 安全十大候选发布版本。了解有关的更多信息。以下是十大安全项目:

  • API1 - 受破坏的对象级授权
  • 应用程序接口2- 用户身份验证被破坏
  • API3 - 数据暴露过多
  • API4 - 缺乏资源和速率限制
  • API5 - 功能级授权被破坏
  • API6 - 批量分配
  • API7 - 安全配置错误
  • API8 - 注射
  • API9 - 资产管理不当
  • API10 - 记录和监控不足

Fortify 有助于提高应用程序接口的安全性

  • 攻击面覆盖范围- 在测试过程中自动发现新的和影子 API 端点,并通过 OpenAPI、Swagger、Odata 或 WSDL 架构识别端点的范围。
  • API 身份验证- API 身份验证多种多样,非常复杂。Fortify 支持几乎所有类型的承载令牌和实现方式。
  • 漏洞检测- 不断扩大 API 特定漏洞的覆盖范围,这些漏洞会影响不记名令牌或 GraphQL 自省等领域。
  • 扫描自动化--通过 SaaS、托管或预置交付的公司级协调功能扩展 API 测试。

应用程序接口安全

立即开始

我们能提供什么帮助?

脚注