Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

什麼是 API 安全?

bg

綜覽


API (應用程式開發介面) 是數位轉型策略的關鍵部分,保護這些 API 是最重要的挑戰之一。API 是一個快速成長的受攻擊面,它沒有得到廣泛的理解,並且可能被開發人員和應用程式安全管理人員忽略。

什麼是 API?


 OWASP API Security Project  是這樣描述的:「API 是現代行動,SaaS 和 Web 應用程式的重要組成部分,存在於面向客戶、面向合作夥伴和內部的應用程式中。因其性質,API 會暴露應用程式邏輯和個人識別資訊 (PII) 等敏感資訊,正因為如此,API 逐漸成為眾多攻擊者的目標。沒有安全的 API,快速創新就行不通。」



以 API 為基礎的應用程式有什麼不同?

一樣是 OWASP 的描述:

  • 伺服器更常作為資料的代理
  • 呈現元件的是用戶端,而不是伺服器
  • 客戶使用原始資料
  • API 暴露應用程式的底層實作
  • 使用者的狀態通常由用戶端維護和監控
  • 在每個 HTTP 請求中發送更多參數 (物件 ID,篩選條件)

API 安全與一般應用程式安全有何不同?

API 安全 的重點在於降低 API 特有安全風險的策略。傳統的弱點在以 API 為基礎的應用程式中較不常見:

  • SQLi — 增加 ORM 的使用
  • CSRF — 授權標題而不是 cookie
  • 路徑操作 — 雲端儲存
  • 典型的 IT 安全問題—SaaS

為什麼 API 安全如此重要?

API 安全之所以如此重要,是因為企業使用 API 來連接伺服器和傳輸資料,所以 API 被駭入可能會導致資料外洩。根據 Gartner 的報告, 相較於使用者介面,90% 的 Web 型應用程式在暴露的 API 中會有較大的攻擊面積。


API 使用持續增長

Forrester 指出,自 2020 年 12 月至 2021 年 6 月間, 惡意 API 流量的百分比成長了 85%。 在 2021 年 12 月,Cloudflare 回報  API 呼叫佔了總請求數的 54%,從 2021 年 2 月到同年 12 月增長了 21%。 攻擊者已注意到 API,並在這方面花了更多心思。

bg

API 安全測試是  Gartner 應用安全測試 MQ 中的核心要素之一。

API 已成為現代應用程式 (例如單頁或行動應用程式) 中不可或缺的一部分,但傳統的 AST 工具組可能無法對其進行完整的測試,因此需要專門的工具和功能。在開發與生產環境中探查 API、測試 API 原始碼,以及擷取記錄流量或 API 定義,以支援執行中 API 測試的能力,都是典型的功能需求。


OWASP API Securty 的前 10 名有哪幾家?

OWASP 最近公佈了 API Security 前 10 名的候選名單。進一步了解  OWASP API Security Project  (並用快速連結查看 簡報 )。前 10 名如下:

  • API1 - 失效的物件層級授權
  • API2 - 失效的使用者驗證
  • API3 - 資料過度暴露
  • API4 - 缺乏資源與速率限制
  • API5 - 失效的功能層級授權
  • API6 - 批量配置不當 API7 安全錯誤配置
  • API8 - 注入攻擊
  • API9 - 資產管理不當
  • API10-日誌記錄和監控不足

Fortify 協助打造 API 安全性

Fortify 的 API 安全性:

  • 攻擊面涵蓋範圍  – 在測試期間自動探查新的與陰影 API 端點,並透過 OpenAPI、Swagger、OData 或 WSDL 綱要來識別端點的廣度。
  • API 驗證  – API 驗證程序複雜且各不相同。Fortify 幾乎支援所有類型的持有人記號與實作。
  • 弱點偵測  – 不斷擴增影響持有人記號或 GraphQL 自我檢查等區域的特定 API 弱點涵蓋範圍。
  • 掃描自動化  – 使用透過 SaaS、代管或內部部署系統傳送的企業級協調化作業,擴充 API 測試規模。

在  Fortify Unplugged  YouTube 頻道中觀看以下示範

相關產品

API 安全性

今天就開始行動。

release-rel-2023-9-2-9373 | Wed Sep 20 05:02:54 PDT 2023
9373
release/rel-2023-9-2-9373
Wed Sep 20 05:02:54 PDT 2023
AWS