API (應用程式開發介面) 是數位轉型策略的關鍵部分,保護這些 API 是最重要的挑戰之一。API 是一個快速成長的受攻擊面,它沒有得到廣泛的理解,並且可能被開發人員和應用程式安全管理人員忽略。
OWASP API Security Project 是這樣描述的:「API 是現代行動,SaaS 和 Web 應用程式的重要組成部分,存在於面向客戶、面向合作夥伴和內部的應用程式中。因其性質,API 會暴露應用程式邏輯和個人識別資訊 (PII) 等敏感資訊,正因為如此,API 逐漸成為眾多攻擊者的目標。沒有安全的 API,快速創新就行不通。」
一樣是 OWASP 的描述:
API 安全 的重點在於降低 API 特有安全風險的策略。傳統的弱點在以 API 為基礎的應用程式中較不常見:
API 安全之所以如此重要,是因為企業使用 API 來連接伺服器和傳輸資料,所以 API 被駭入可能會導致資料外洩。根據 Gartner 的報告, 相較於使用者介面,90% 的 Web 型應用程式在暴露的 API 中會有較大的攻擊面積。
Forrester 指出,自 2020 年 12 月至 2021 年 6 月間, 惡意 API 流量的百分比成長了 85%。 在 2021 年 12 月,Cloudflare 回報 API 呼叫佔了總請求數的 54%,從 2021 年 2 月到同年 12 月增長了 21%。 攻擊者已注意到 API,並在這方面花了更多心思。
API 安全測試是 Gartner 應用安全測試 MQ 中的核心要素之一。
API 已成為現代應用程式 (例如單頁或行動應用程式) 中不可或缺的一部分,但傳統的 AST 工具組可能無法對其進行完整的測試,因此需要專門的工具和功能。在開發與生產環境中探查 API、測試 API 原始碼,以及擷取記錄流量或 API 定義,以支援執行中 API 測試的能力,都是典型的功能需求。
OWASP 最近公佈了 API Security 前 10 名的候選名單。進一步了解 OWASP API Security Project (並用快速連結查看 簡報 )。前 10 名如下:
在 Fortify Unplugged YouTube 頻道中觀看以下示範
什麼是應用程式安全?
什麼是 DevSecOps?
什麼是開放原始碼安全性?
Fortify Unplugged YouTube 頻道
Fortify 整合共生體系
Fortify 社群
Wikipedia 文章:Web API 安全性
TechBeacon 文章:OWASP API 安全性前 10 名:讓您的開發團隊快速上手
TechBeacon 文章:API 安全性的 8 項關鍵最佳實務
TestGuild 安全性 Podcast:如何利用 Troy Hunt 測試您的 API 安全性
什麼是 DAST?
資訊圖表:AppSec 匯總表
什麼是網路韌性?
Forrester Wave:靜態應用程式安全測試
Fortify 客戶成功故事
什麼是 OWASP Top 10?