導(dǎo)讀

　　近日，全球最大的CDN服務(wù)商Akamai發(fā)布了一項(xiàng)針對(duì)應(yīng)用程序接口（API）不斷進(jìn)化的威脅形勢(shì)的研究，據(jù)信息技術(shù)研究和分析的公司Gartner稱(chēng)，到2022年，API將成為最常見(jiàn)的在線攻擊媒介。

　　近年來(lái)，API作為在移動(dòng)互聯(lián)網(wǎng)時(shí)代中連接數(shù)據(jù)和應(yīng)用的重要通道，承載著越來(lái)越復(fù)雜的應(yīng)用程序邏輯和越來(lái)越多的敏感數(shù)據(jù)。正因如此，API也成為黑產(chǎn)的重點(diǎn)攻擊目標(biāo)，API遭受攻擊的事件屢見(jiàn)不鮮并影響巨大。

　　API安全問(wèn)題持續(xù)出現(xiàn)

　　盡管在系統(tǒng)生命周期（SDLC）和測(cè)試工具方面進(jìn)行了改進(jìn)，但該報(bào)告強(qiáng)調(diào)了API漏洞的令人沮喪的現(xiàn)狀。通常，在急于將API 安全推向市場(chǎng)的過(guò)程中，API 安全被降級(jí)為事后的考慮，并不被得到重視，許多組織依賴(lài)傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，這些解決方案并非能夠保護(hù) API 可能引入的廣泛攻擊。

　　Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報(bào)告》作者Steve Ragan指出：“從遭到破壞的身份驗(yàn)證和注入缺陷，到簡(jiǎn)單的錯(cuò)誤配置，任何構(gòu)建聯(lián)網(wǎng)應(yīng)用程序的人都會(huì)面臨不計(jì)其數(shù)的API安全問(wèn)題。企業(yè)無(wú)法充分檢測(cè)API攻擊，即使檢測(cè)到此類(lèi)攻擊，也可能會(huì)被漏報(bào)。DDoS攻擊和勒索軟件都是企業(yè)關(guān)注的重要問(wèn)題，而API攻擊并沒(méi)有得到同等程度的關(guān)注，這在很大程度上是因?yàn)?，犯罪分子使用API發(fā)起的攻擊無(wú)法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動(dòng)效應(yīng)，但這并不意味著應(yīng)該忽視API攻擊?！?/p>

　　企業(yè)并不總是能夠知曉API漏洞位于何處。例如，API經(jīng)常隱藏在移動(dòng)應(yīng)用程序中，導(dǎo)致人們認(rèn)為它們無(wú)法被犯罪分子操縱。開(kāi)發(fā)人員假設(shè)用戶(hù)只會(huì)通過(guò)移動(dòng)用戶(hù)界面（UI）與API進(jìn)行交互，但正如本報(bào)告所指出的，情況并非如此。

　　Veracode首席研究官Chris Eng表示：“將OWASP十大漏洞與OWASP十大API安全漏洞進(jìn)行比較。后者聲稱(chēng)體現(xiàn)了API的‘獨(dú)特漏洞和安全風(fēng)險(xiǎn)’，但仔細(xì)看，您會(huì)看到其中列出了完全相同的Web漏洞，順序稍有不同，并采用了略微不同的文字描述。為了提高效率，API調(diào)用經(jīng)過(guò)了專(zhuān)門(mén)設(shè)計(jì)，使得用戶(hù)可以更輕松、更快地自動(dòng)執(zhí)行調(diào)用——這是一把雙刃劍，既有利于開(kāi)發(fā)人員，也有利于攻擊者?！?/p>

　　攻擊流量激增指向、持續(xù)存在的API漏洞

　　報(bào)告中還詳細(xì)提到，Akamai審查了2020年1月至2021年6月間（18個(gè)月）的攻擊流量，發(fā)現(xiàn)總攻擊次數(shù)超過(guò)110億次。憑借記錄到的62億次攻擊，SQL注入（SQLi）仍然在Web攻擊趨勢(shì)列表中排在首位，其次是本地文件包含（LFI）（33億次）、跨站點(diǎn)腳本攻擊（XSS）（10.19億次）。

　　雖然很難在上述攻擊中確定純粹的API攻擊所占的比例，但致力于提高軟件安全性的非營(yíng)利性基金會(huì)——開(kāi)放Web應(yīng)用程序安全項(xiàng)目（OWASP）最近發(fā)布了一份10大API安全漏洞清單，該清單基本與Akamai的調(diào)查結(jié)果一致。