API(應用程式開發介面)是數位改革戰策的關鍵組分,保護這些 API 是最重要的一個挑戰。API是一個快速成長的受攻擊面,它沒有得到廣泛的理解,並且可能被開發人員和應用程式安全經理忽略。
OWASP API 安全計劃是這樣描述的:「API是現代行動,SaaS和Web應用程式的重要組成部分,存在於面向客戶、面向合作夥伴和內部應用程式中。因其性質,API會暴露應用程式邏輯和個人身份資訊(PII)等敏感資訊,正因為如此,API 逐漸成為眾多攻擊者的目標。沒有安全的 API,就不可能實現快速創新。」
這也一樣是 OWASP 的描述:
API Security 專注於降低 API 特有安全風險的策略。傳統的弱點在以 API 為基礎的應用程式中不太常見:
API 安全之所以如此重要,是因為企業使用 API 來連接伺服器和傳輸資料,所以被攻擊的 API 可能會導致數據干擾資料外洩。根據 Micro Focus Fortify 2019年應用程式安全風險報告,API 濫用問題在過去四年裡約增加兩倍。2018 年的數據顯示,在被分析的 Web 應用程式中,有 35% 存在 API 濫用問題,而行動應用程式的發生率上升到 52%。
API 安全測試是 Gartner 應用安全測試 MQ 中的創新因素之一。
組織……從傳統的單一Web 應用程式轉移到現代化應用程式,例如那些大量使用客戶端JavaScript(並調用多個伺服器端 API)或利用微服務體系結構的應用程式。這導致了更小、不同的功能單元的產生,並經常使與這些微服務的互動的 Web API 激增。API 的安全測試是組織當前所面臨的一個挑戰,與現在以 DAST 和 SAST 技術為基礎的測試為基準,組織需要更強大的能力來自動發現 API 並進行測試。
OWASP 最近公佈了前 10 名的 API Security 候選版。瞭解更多有關 OWASP API 安全計劃的資訊(並用快速連結查看簡報)。前 10 名如下:
Fortify 使用 Fortify WebInspect 掃描 API:
在 Fortify Unplugged YouTube 頻道中觀看以下示範:
NetIQ Secure API Manager 是如何工作的?