API（應用程式開發介面）是數位改革戰策的關鍵組分，保護這些 API 是最重要的一個挑戰。API是一個快速成長的受攻擊面，它沒有得到廣泛的理解，並且可能被開發人員和應用程式安全經理忽略。

什麼是 API？

OWASP API 安全計劃是這樣描述的：「API是現代行動，SaaS和Web應用程式的重要組成部分，存在於面向客戶、面向合作夥伴和內部應用程式中。因其性質，API會暴露應用程式邏輯和個人身份資訊（PII）等敏感資訊，正因為如此，API 逐漸成為眾多攻擊者的目標。沒有安全的 API，就不可能實現快速創新。」

以 API 為基礎的應用程式有什麼不同？

這也一樣是 OWASP 的描述：

• 伺服器更常作為數據的代理
• 呈現組件的是客戶端，而不是伺服器
• 客戶使用原始資料
• API 暴露應用程式的底層實作
• 使用者的狀態通常由客戶端維護和監控
• 在每個 HTTP 請求中發送更多參數（對象ID，過濾器）

API 安全與一般應用程式安全有何不同？

API Security 專注於降低 API 特有安全風險的策略。傳統的弱點在以 API 為基礎的應用程式中不太常見：

• SQLi——增加 ORM 的使用
• CSRF——授權標題而不是 cookie
• 路徑操作－雲端儲存
• 典型的 IT 安全問題—SaaS

為什麼 API 安全如此很重要？

API 安全之所以如此重要，是因為企業使用 API 來連接伺服器和傳輸資料，所以被攻擊的 API 可能會導致數據干擾資料外洩。根據 Micro Focus Fortify 2019年應用程式安全風險報告，API 濫用問題在過去四年裡約增加兩倍。2018 年的數據顯示，在被分析的 Web 應用程式中，有 35％ 存在 API 濫用問題，而行動應用程式的發生率上升到 52％。

API 安全測試是 Gartner 應用安全測試 MQ 中的創新因素之一。

組織……從傳統的單一Web 應用程式轉移到現代化應用程式，例如那些大量使用客戶端JavaScript（並調用多個伺服器端 API）或利用微服務體系結構的應用程式。這導致了更小、不同的功能單元的產生，並經常使與這些微服務的互動的 Web API 激增。API 的安全測試是組織當前所面臨的一個挑戰，與現在以 DAST 和 SAST 技術為基礎的測試為基準，組織需要更強大的能力來自動發現 API 並進行測試。

OWASP API Securty 的前 10 名為何？

OWASP 最近公佈了前 10 名的 API Security 候選版。瞭解更多有關 OWASP API 安全計劃的資訊（並用快速連結查看簡報）。前 10 名如下：

• API1－無效對象級授權
• API－無效使用者身份驗證
• API3－資料過度暴露
• API4－缺乏資源和等級限制
• API5－無效功能級授權
• API6－大量分配 API7 安全錯誤配置
• API8－注入
• API9－資產管理不當
• API10－日誌記錄和監控不足

Micro Focus 助力 API Security

Fortify 使用 Fortify WebInspect 掃描 API：

• WebInspect 使用快速整合的自動化動態分析來檢測 Web 應用程式和 API 中的可利用弱點。
• 支援 OpenAPI（Swagger），可在幾秒鐘內完成基本 APIs 掃描。
• 若要更高級的 API 掃描方案，請使用 WebInspect 的 Postman 整合來支援獨特的工作流程、複雜的身份驗證和自定參數要求。

在 Fortify Unplugged YouTube 頻道中觀看以下示範：

• 簡化了 WebInspect 的 API 掃描
• 進階的高級 API 掃描 - WebInspect Postman 整合

NetIQ Secure API Manager 是如何工作的？

• Secure API Manager 提供了一個單一的解決方案來建立、管理、保護和測量您公司使用的 API。與 Access Manager™ 搭配，Secure API Manager 提供了一個全面的存取和安全解決方案，可以訪問您所有的 Web、行動和 API 存取需求。
• 進一步瞭解：NetIQ API Manager 資料表