API流量約占全球互聯(lián)網(wǎng)流量的83%，是數(shù)字經(jīng)濟(jì)的“關(guān)鍵基礎(chǔ)設(shè)施”，同時(shí)也是最熱門(mén)的攻擊目標(biāo)之一。隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和人工智能技術(shù)的快速普及，API安全已經(jīng)成為當(dāng)下企業(yè)和互聯(lián)網(wǎng)面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)之一。

面對(duì)日趨惡化的API安全態(tài)勢(shì)，安全團(tuán)隊(duì)需要重點(diǎn)排查和緩解以下五個(gè)API關(guān)鍵漏洞：

1弱認(rèn)證

身份驗(yàn)證用于核實(shí)用戶(hù)或設(shè)備是否是其聲稱(chēng)的身份，防止沒(méi)有正確權(quán)限的人員或設(shè)備訪問(wèn)信息和資源。如果身份驗(yàn)證流程容易被繞過(guò)或入侵（例如弱密碼或容易猜到的密碼），攻擊者可以臨時(shí)甚至永久偽裝成合法用戶(hù)。

措 施

2錯(cuò)誤的對(duì)象級(jí)授權(quán)

API通常公開(kāi)用于訪問(wèn)資源的對(duì)象。當(dāng)這些端點(diǎn)上沒(méi)有正確實(shí)施訪問(wèn)控制時(shí)，攻擊者可以查看或操作他們不應(yīng)該訪問(wèn)的資源。此漏洞影響所有類(lèi)型的API架構(gòu)，包括SOAP、REST和GraphQL。

例如，攻擊者更改請(qǐng)求的用戶(hù)ID，以查看是否返回有關(guān)其他用戶(hù)的信息，這可能導(dǎo)致未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)。值得注意的是，2019年Uber的API中發(fā)現(xiàn)了此漏洞，該API使司機(jī)只需更改用戶(hù)ID即可訪問(wèn)其他司機(jī)的數(shù)據(jù)。如果數(shù)據(jù)修改函數(shù)也缺乏正確實(shí)施的授權(quán)檢查，攻擊者還可能更改或刪除數(shù)據(jù)，甚至完全接管另一個(gè)用戶(hù)的帳戶(hù)。

措 施

對(duì)象標(biāo)識(shí)符應(yīng)該是隨機(jī)且不可預(yù)測(cè)的，而不是可以輕松猜測(cè)的可預(yù)測(cè)的順序值。服務(wù)器端檢查還應(yīng)驗(yàn)證以下內(nèi)容：

※用戶(hù)有權(quán)訪問(wèn)請(qǐng)求的對(duì)象。

※用戶(hù)擁有對(duì)對(duì)象執(zhí)行特定操作所需的權(quán)限。

3注入漏洞

當(dāng)API收到用戶(hù)提交的數(shù)據(jù)但在處理請(qǐng)求之前未對(duì)其進(jìn)行分析和驗(yàn)證時(shí)，攻擊者可以發(fā)送惡意數(shù)據(jù)或命令來(lái)觸發(fā)注入攻擊。數(shù)據(jù)庫(kù)查詢(xún)和操作系統(tǒng)命令都可以通過(guò)XML、JSON、跨站點(diǎn)腳本（XSS）、SQL和NoSQL注入來(lái)訪問(wèn)數(shù)據(jù)或未經(jīng)授權(quán)執(zhí)行惡意命令。

措 施

與其創(chuàng)建自己的函數(shù)來(lái)驗(yàn)證和清理傳入數(shù)據(jù)，不如調(diào)用專(zhuān)業(yè)白名單庫(kù)來(lái)確保數(shù)據(jù)是所需的類(lèi)型和長(zhǎng)度，對(duì)每個(gè)傳入請(qǐng)求運(yùn)行這些檢查，并刪除意外的字符、參數(shù)以及已知的注入命令。

4過(guò)多的數(shù)據(jù)暴露

數(shù)據(jù)暴露是API的常見(jiàn)漏洞，即API響應(yīng)請(qǐng)求時(shí)返回的數(shù)據(jù)遠(yuǎn)遠(yuǎn)多于完成請(qǐng)求所需的數(shù)據(jù)。這通常是因?yàn)殚_(kāi)發(fā)人員編寫(xiě)從表中返回整行數(shù)據(jù)的代碼比僅返回所需特定字段更簡(jiǎn)單。例如，消息傳遞應(yīng)用程序上的個(gè)人資料頁(yè)面可能僅僅會(huì)顯示某人的姓名和年齡，但API請(qǐng)求往往會(huì)返回存儲(chǔ)的有關(guān)該用戶(hù)的所有信息，而不僅僅是根據(jù)其出生日期計(jì)算的該用戶(hù)的姓名和年齡。

盡管應(yīng)用程序可能會(huì)過(guò)濾響應(yīng)并僅顯示姓名和年齡，但攻擊者很容易讀取和收集請(qǐng)求中返回的其他詳細(xì)信息，包括個(gè)人身份信息，例如出生日期、電子郵件地址和位置。這種敏感數(shù)據(jù)的公開(kāi)可能會(huì)違反數(shù)據(jù)訪問(wèn)策略規(guī)則和相關(guān)數(shù)據(jù)安全法規(guī)。

措 施

API響應(yīng)僅返回滿足請(qǐng)求所需的數(shù)據(jù)，具體來(lái)說(shuō)就是API進(jìn)行的數(shù)據(jù)庫(kù)查詢(xún)應(yīng)僅獲取相關(guān)記錄和字段。API文檔應(yīng)說(shuō)明滿足請(qǐng)求所需的數(shù)據(jù)，確保數(shù)據(jù)庫(kù)查詢(xún)與請(qǐng)求的字段和記錄匹配。請(qǐng)記住，客戶(hù)端應(yīng)用只能篩選用戶(hù)可見(jiàn)的數(shù)據(jù)，而不能篩選它接收的數(shù)據(jù)。

5安全配置錯(cuò)誤

API運(yùn)行在復(fù)雜的基礎(chǔ)架構(gòu)上，資源配置會(huì)根據(jù)需求自動(dòng)擴(kuò)展和縮減。如果未在每一層正確配置安全控制，則敏感數(shù)據(jù)和系統(tǒng)可能會(huì)面臨風(fēng)險(xiǎn)。常見(jiàn)的錯(cuò)誤配置包括未修補(bǔ)的設(shè)備和應(yīng)用程序、不安全的默認(rèn)配置、未加密的數(shù)據(jù)傳輸以及開(kāi)放和不安全的云存儲(chǔ)和服務(wù)。

措 施

API應(yīng)僅公開(kāi)HTTPS端點(diǎn)。但是，由于HTTPS端點(diǎn)對(duì)互聯(lián)網(wǎng)開(kāi)放，因此正確設(shè)置速率限制，控制請(qǐng)求速率和請(qǐng)求的資源數(shù)量也很重要，否則將受到DoS和暴力攻擊。禁用未使用的HTTP方法（如TRACE），并添加相應(yīng)的HTTP響應(yīng)安全標(biāo)頭，如X-Content-Type-Options：nosniff，以防止XSS和X-Frame-Options：deny以防止點(diǎn)擊劫持嘗試。此外，API請(qǐng)求生成的任何錯(cuò)誤消息都應(yīng)僅包含最少的信息，以確保不會(huì)泄露有關(guān)系統(tǒng)的敏感數(shù)據(jù)，例如關(guān)于錯(cuò)誤的詳細(xì)技術(shù)信息。

最新評(píng)論