不被重视的API 安全问题永远存在

Akamai安全研究员兼《互联网安全状况报告》作者Steve Ragan指出：“从遭到破坏的身份验证和注入缺陷，到简单的错误配置，任何构建联网应用程序的人都会面临不计其数的API安全问题。企业无法充分检测API攻击，即使检测到此类攻击，也可能会被漏报。DDoS攻击和勒索软件都是企业关注的重要问题，而API攻击并没有得到同等程度的关注，这在很大程度上是因为，犯罪分子使用API发起的攻击无法像执行到位的勒索软件攻击那样引发轰动效应，但这并不意味着应该忽视API攻击。”

 

　　企业并不总是能够知晓API漏洞位于何处。例如，API经常隐藏在移动应用程序中，导致人们认为它们无法被犯罪分子操纵。开发人员假设用户只会通过移动用户界面（UI）与API进行交互，但正如本报告所指出的，情况并非如此。

 

　　Veracode首席研究官Chris Eng表示：“将OWASP十大漏洞与OWASP十大API安全漏洞进行比较。后者声称体现了API的‘独特漏洞和安全风险’，但仔细看，您会看到其中列出了完全相同的Web漏洞，顺序稍有不同，并采用了略微不同的文字描述。为了提高效率，API调用经过了专门设计，使得用户可以更轻松、更快地自动执行调用——这是一把双刃剑，既有利于开发人员，也有利于攻击者。”