API安全問題持續出現

 導讀

近日，全球最大的CDN服務商Akamai發布了一項針對應用程序接口(API)不斷進化的威脅形勢的研究，據信息技術研究和分析的公司Gartner稱，到2022年，API將成為最常見的在線攻擊媒介。

近年來，API作為在移動互聯網時代中連接數據和應用的重要通道，承載著越來越復雜的應用程序邏輯和越來越多的敏感數據。正因如此，API也成為黑產的重點攻擊目標，API遭受攻擊的事件屢見不鮮并影響巨大。

 API安全問題持續出現

盡管在系統生命周期(SDLC)和測試工具方面進行了改進，但該報告強調了API漏洞的令人沮喪的現狀。通常，在急于將API 安全推向市場的過程中，API 安全被降級為事后的考慮，并不被得到重視，許多組織依賴傳統的網絡安全解決方案，這些解決方案并非能夠保護 API 可能引入的廣泛攻擊。

Akamai安全研究員兼《互聯網安全狀況報告》作者Steve Ragan指出:“從遭到破壞的身份驗證和注入缺陷,到簡單的錯誤配置,任何構建聯網應用程序的人都會面臨不計其數的API安全問題。企業無法充分檢測API攻擊,即使檢測到此類攻擊,也可能會被漏報。DDoS攻擊和勒索軟件都是企業關注的重要問題,而API攻擊并沒有得到同等程度的關注,這在很大程度上是因為,犯罪分子使用API發起的攻擊無法像執行到位的勒索軟件攻擊那樣引發轟動效應,但這并不意味著應該忽視API攻擊。”

企業并不總是能夠知曉API漏洞位于何處。例如,API經常隱藏在移動應用程序中,導致人們認為它們無法被犯罪分子操縱。開發人員假設用戶只會通過移動用戶界面(UI)與API進行交互,但正如本報告所指出的,情況并非如此。

Veracode首席研究官Chris Eng表示:“將OWASP十大漏洞與OWASP十大API安全漏洞進行比較。后者聲稱體現了API的‘獨特漏洞和安全風險’,但仔細看,您會看到其中列出了完全相同的Web漏洞,順序稍有不同,并采用了略微不同的文字描述。為了提高效率,API調用經過了專門設計,使得用戶可以更輕松、更快地自動執行調用——這是一把雙刃劍,既有利于開發人員,也有利于攻擊者。”

 攻擊流量激增指向、持續存在的API漏洞

報告中還詳細提到,Akamai審查了2020年1月至2021年6月間(18個月)的攻擊流量,發現總攻擊次數超過110億次。憑借記錄到的62億次攻擊,SQL注入(SQLi)仍然在Web攻擊趨勢列表中排在首位,其次是本地文件包含(LFI)(33億次)、跨站點腳本攻擊(XSS)(10.19億次)。

雖然很難在上述攻擊中確定純粹的API攻擊所占的比例,但致力于提高軟件安全性的非營利性基金會——開放Web應用程序安全項目(OWASP)最近發布了一份10大API安全漏洞清單,該清單基本與Akamai的調查結果一致。

原文來源：E安全

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”