OWASP API Security Project 是這樣描述的:「API 是現代行動,SaaS 和 Web 應用程式的重要組成部分,存在於面向客戶、面向合作夥伴和內部的應用程式中。因其性質,API 會暴露應用程式邏輯和個人識別資訊 (PII) 等敏感資訊,正因為如此,API 逐漸成為眾多攻擊者的目標。沒有安全的 API,快速創新就行不通。」
一樣是 OWASP 的描述:
API 安全 的重點在於降低 API 特有安全風險的策略。傳統的弱點在以 API 為基礎的應用程式中較不常見:
API 安全之所以如此重要,是因為企業使用 API 來連接伺服器和傳輸資料,所以 API 被駭入可能會導致資料外洩。根據 Gartner 的報告, 相較於使用者介面,90% 的 Web 型應用程式在暴露的 API 中會有較大的攻擊面積。
Forrester 指出,自 2020 年 12 月至 2021 年 6 月間, 惡意 API 流量的百分比成長了 85%。 在 2021 年 12 月,Cloudflare 回報 API 呼叫佔了總請求數的 54%,從 2021 年 2 月到同年 12 月增長了 21%。 攻擊者已注意到 API,並在這方面花了更多心思。
API 安全測試是 Gartner 應用安全測試 MQ 中的核心要素之一。
API 已成為現代應用程式 (例如單頁或行動應用程式) 中不可或缺的一部分,但傳統的 AST 工具組可能無法對其進行完整的測試,因此需要專門的工具和功能。在開發與生產環境中探查 API、測試 API 原始碼,以及擷取記錄流量或 API 定義,以支援執行中 API 測試的能力,都是典型的功能需求。
OWASP 最近公佈了 API Security 前 10 名的候選名單。進一步了解 OWASP API Security Project (並用快速連結查看 簡報 )。前 10 名如下:
在 Fortify Unplugged YouTube 頻道中觀看以下示範
