OWASP API 安全计划是这样描述的:“API 是现代移动、SaaS 和 Web 应用程序的重要组成部分,可以在面向客户、面向合作伙伴的应用程序及内部应用程序中找到。因性质使然,API 会暴露应用程序逻辑和个人身份信息 (PII) 等敏感数据,正因为如此,API 逐渐成为众多攻击者的目标。没有安全的 API,就不可能实现快速创新。”
同样,还是来自 OWASP:
API 安全的重点在于制定降低 API 特有安全风险的策略。传统的漏洞在基于 API 的应用程序中不太常见:
API 安全之所以如此重要,是因为企业使用 API 来连接服务和传输数据,所以被攻击的 API 可能会导致数据漏洞。根据 Gartner 调查,支持 Web 的应用程序有 90% 在暴露的 API 中较之在用户界面中更容易遭受攻击。
根据 Forrester 调查,从 2020 年 12 月到 2021 年 6 月,恶意 API 流量的百分比增长了 85%。2021 年 12 月,Cloudflare 报告称,API 调用数占总请求数的 54%,从 2021 年 2 月到 12 月增加了 21%。攻击者已经注意到并增加了对 API 的关注。
API 安全测试是 Gartner MQ 应用程序安全测试核心功能的一部分。
API 已成为现代应用程序(例如,单页或移动应用程序)的重要组成部分,但传统的 AST 工具集可能无法对其进行全面测试,因此需要专门的工具和功能。在开发和生产环境中发现 API 和测试 API 源代码的能力,以及摄取记录的流量或 API 定义以支持测试运行中 API 的能力,都是典型的功能。
OWASP 最近发布了十大 API 安全漏洞候选版本。阅读有关 OWASP API 安全计划的更多信息(并在“快速链接”部分中查看演示文稿)。 以下是十大安全漏洞:
在 Fortify Unplugged YouTube 频道观看以下演示
