探讨如何确保API安全应用的实施

API的名称称为Application Programming Interface或Interface，它也被称作应用软件界面，它定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展，API 从早期的软件内部调用的接口，扩展到互联网上对外提供服务的接口。调用者通过调用 API，可以获取接口提供的各项服务，而无须访问源码，也无须理解内部工作机制的细节。

API它是程序开发的基础，特别是系统API函数，通过系统自带的API函数可以快速实现程序开发的功能，现在高级语言也都是基于语言特性进行封装各种便于程序开发的API接口，这样就减少了开发者对具体功能的实现，只要直接调用API函数就可以快速实现功能了。但是API的虽然方便了开发，但是也同样存在和暴露出很多安全的风险问题。API的安全风险有被直接HOOK风险、安全漏洞风险、安全攻击风险。

API安全它是由多种安全规则相互交叉，它主要表现是以下三部分:

信息安全：聚焦于信息保护，这种保护包括信息的创建、存储、传输、落还、以及最终销毁的生命周期。

网络安全：解决服务两方面问题，如何保护通过网络传播的数据流以及如何防止未授权的网络。

应用安全：确保设计和部署的应用可以对抗攻击、防止误用。

API 接口在设计之初未对 API 接口访问频率做限制，使攻击者在短时间内可以进行访问大量 API 接口，这就产生了高频访问行为，这在很短的时间内就可以完成如营销作弊、恶意注册等攻击，甚至可能带来 CC 攻击。

1、无效的对象级别授权

API倾向于暴露那些处理对象识别的端点，造成了广泛的攻击面访问控制问题。在每个能够访问用户输入数据的功能中，都应考虑对象级别授权检查。

2、损坏的用户身份验证

身份验证机制通常实施不正确，从而使攻击者可以破坏身份验证令牌或利用实施缺陷来临时或永久地假冒其他用户的身份。损害系统识别客户端/用户的能力会整体损害API安全性。

3、过度的数据泄露

开发人员倾向于公开所有对象属性而不考虑其个体数据敏感性，依靠客户端执行数据过滤并显示。

4、缺乏资源和速率限制

API一般不会对客户端/用户可以请求的资源大小或数量施加任何限制。这不仅会影响API服务器的性能，从而导致拒绝服务（DoS），而且还为诸如暴力破解之类的身份验证漏洞敞开了大门这座具有明清特色的仿古建筑。

5、功能级别受权损坏

具有不同层级、分组和角色的复杂访问控制策略，以及管理功能和常规功能之间的模糊不清，往往会导致授权缺陷。通过利用这些问题，攻击者可以访问其他用户的资源和/或管理功能。通过使用一个或多个安全策略，攻击者可以控制用户是否可以访问他们的资源，以及他们是否可以访问其他用户的资源和/或管理功能。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!