在智能手機APP中,企業越來越多地依靠API與客戶交互,實際上,這種交互模式具有其獨特的漏洞集。
黑客們一邊繼續利用容易受到攻擊的人、過程和技術,一邊還將攻擊範圍擴大到其他目標。對黑客們來說,似乎沒有任何東西是他們不去攻擊的;而對於企業來說,沒有人能百分百確保不受到黑客惡意攻擊的威脅。儘管,企業組織在自我保護方面不斷取得進步,但是,攻擊載體源源不斷,解決了一個,另一個很快又會出現。
API正在迅速成爲黑客們新的攻擊對象。最新的報告表明,到2022年,API濫用將成爲企業web應用程序數據泄露的罪魁禍首。全球API實現的廣泛增長,但其尚未被廣泛利用,這對黑客們來說,提供了一個新的攻擊目標。因此,保護API變得越來越重要。
雖然API安全這個詞的概念對大家來說還比較陌生,但是通過API進行的攻擊卻已經廣泛發生。多年來,大多數組織都遇到過針對其網絡和麪向Internet的應用程序的類似威脅。現在,他們必須將精力集中在過去被攻擊過的移動應用程序、API和後端服務器上。在討論與當今API相關的風險之前,我們必須首先確切地瞭解使API獨特且脆弱的原因。
基於API的應用程序與傳統應用程序的比較
基於API的應用程序與傳統應用程序有很大的不同。過去,例如,用戶/訪問者通過瀏覽器訪問web服務器,而大多數“數據處理”是在服務器本身上執行的。隨着客戶端設備越來越多樣化、功能越來越強大(具有更快的CPU,更大的內存,更大的帶寬等),許多邏輯從後端服務器上轉移到了前端(即,客戶端設備本身),如下圖所示:
上圖底部的現代應用程序中,下游服務器的行爲更像是基於API的應用程序執行數據的代理。在這種情況下,使用原始數據的客戶端呈現組件,而不是使用服務器本身。
例如,早期,大家使用智能手機和傳統網站預定機票。人們會在手機上打開瀏覽,嘗試使用專門爲傳統大型電腦顯示器設計的航空公司網。這種客戶體驗效果很差。然後,航空公司開始更新他們的網站,使其對智能手機更加友好。儘管這改善了客戶體驗,但導航網站和完成機票預訂仍然很麻煩。
因此,航空公司、酒店、汽車租賃公司等都開始開發自己的移動應用程序。人們不再試圖通過手機上的瀏覽器使用該航空公司網站來預訂航班,而是下載並安裝該公司的移動應用程序,並直接用智能手機使用該移動應用程序來預訂航班。那麼,跟之前比較而言,這有什麼不同呢?
使用航空公司自主開發的移動應用程序預訂航班時,該應用程序使用API調用與後端服務器交互,主要檢索航班時間表、可用性、價格、座位等數據。該應用程序還與用戶進行交互,允許客戶指定旅行日期、出發和到達城市、座位選擇和購買選項。在這種情況下,智能手機在不使用瀏覽器的情況下,在移動應用程序本身內,執行幾乎所有的機票預訂處理負載。儘管這極大地改善了用戶使用智能手機預訂機票的體驗,但也引出了一個問題:API是否也像基於瀏覽器的應用程序一樣容易受到網絡攻擊?
API涉及的風險
不幸的是,API同樣容易受到攻擊,與基於瀏覽器的應用類似,存在很高的安全性問題。當然,由於API公開了移動應用程序的底層實現,並且用戶狀態通常由客戶端應用程序維護和監視,因此在每個HTTP請求中會發送更多的參數(對象id、過濾器等),所以API相關的一些安全問題是獨特的。在大多數情況下,這些問題導致的漏洞可以分爲三個關注領域。
1、公開敏感數據
2、攔截通訊
3、對後端服務器發起拒絕服務(DOS)攻擊
OWASP API安全十大項目
隨着威脅範圍不斷擴大,API使用不斷增加,OWASP API安全十大項目能夠幫助組織、開發人員和應用程序安全團隊更加了解API的風險。
這個項目之所以重要的原因如下:該項目的網站聲明,“API是當今應用程序驅動世界中創新的基礎。從銀行、零售和運輸到物聯網、自動駕駛汽車和智能城市,API至關重要。API可以在面向客戶、面向合作伙伴和內部應用程序中找到,它們是現代移動、SaaS和web應用程序的一部分。從本質上講,API公開了應用程序邏輯和敏感數據,例如個人身份信息(PII),因此,它已經不斷成爲攻擊者的目標。沒有安全的API,快速創新是不可能的。”
OWASP API安全項目能夠開發、發佈和跟蹤組織在使用API時所面臨的十大風險,類似於OWASP十大最關鍵的Web應用程序安全風險。從中斷的對象級授權到不充分的日誌記錄和監視,該列表彙總了企業面臨的最關鍵的API風險,同時還提供了示例攻擊場景和緩解這些威脅的建議。建議IT團隊、安全專業人員和開發人員都仔細閱讀該列表,以便更好地理解API的好處,以及當對手將目光投向這個新興目標時,其實施帶來的潛在風險。
未經同意,本文禁止轉載或摘編。