API 接口常見安全弱點有哪些

API接口常見安全弱點有以下這些：

• 太容易被發現：攔截代理能夠捕獲瀏覽器或移動應用程序對后端Web服務器發出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數API都將API/V1/login作為身份驗證端點。如果目標也是移動應用程序，則將應用程序包拆開，并查看應用程序內部可用的API調用。考慮到所有可能的活動，攻擊者可以搜索無法正確保護用戶數據的常見配置錯誤或API。最后，攻擊者尋找API文檔。一些組織為第三方發布API文檔，但為所有用戶使用相同的API端點。

• 過于詳細的錯誤信息：最近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統找出有效賬戶，然后嘗試登錄并更改密碼進行利用。

• 參數太多：當攻擊者通過API調用遍歷攻擊系統時，他們必須弄清楚可以發送些什么來獲取數據。即越復雜的系統，出錯的地方越多。攻擊者識別出API后，他們將對參數進行分類，然后嘗試訪問管理員（垂直特權升級）或另一個用戶（水平特權升級）的數據以收集其他數據。通常，太多不必要的參數被暴露給了用戶。

• 數據過多：同樣地，由于可用的參數太多，收集數據將成為顯而易見的下一步行動。許多企業的系統支持匿名連接，并且傾向泄漏普通用戶不需要的額外數據。另外，許多企業傾向于存儲可以直接訪問的數據。安全專業人員正在努力應對API請求經常暴露數據存儲位置的挑戰。例如，當我查看安全攝像機中的視頻時，可以看到該信息來自Amazon S3存儲庫。通常，那些S3存儲庫的保護并不周全，任何人的數據都可以被檢索。另一個常見的數據挑戰是數據過載，很多企業都像入冬前的花栗鼠，存儲的數據量遠遠超出了需要。很多過期用戶數據已經沒有商業價值和保存價值，但是如果發生泄露，則會給企業帶來巨大的品牌和合規風險。

• 安全設計太少：多年以來，應用程序設計總是優先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設計流程之外。通常都是開發人員開發和部署完成后，在API投入生產且頻繁遭受攻擊后才亡羊補牢查找問題。安全性（包括API安全性）需要成為產品設計的一部分，并且應作為首要考慮因素之一加以實現，而不是事后填坑。

API接口面臨安全風險的防范建議有以下這些：

• 統一API設計開發規范：健全API設計、開發、測試等環節標準規范和管理制度，引導API開發運維流程標準化，提高對API安全的重視程度。

• API上線、變更、下線環節實時監控：對API部署情況進行全面排查，梳理統計API類型、活躍接口數量、失活接口數量等資產現狀上線前風險評估，發現問題暫停上線并及時調整，確保上線API安全性。上線后對運行情況進行實時監控，發現接口運行異常、惡意調用等情況及時采取防護措施，修復相應問題。API不再使用遵循下線流程及時進行處理，防止失活API持續在線，成為安全隱患。

• 完善API身份認證和授權管理機制：針對提供數據增、刪、改等高危操作的API，嚴格規范用戶權限管理。對涉及敏感信息、重要數據的API加強接入方資質和數據安全防護能力審核，規范合作要求，避免因接入方原因導致數據安全事件。

• 健全API安全防護體系：部署API網關統一接口管理等，加強API安全保護宣傳力度，提高員工安全意識，提高員工特別是API開發運維人員的安全意識，進一步提高內部RD整體數據安全認識。

• API身份認證實時監控能力：重點監控高頻登錄嘗試、空Referer、非瀏覽器UA頭登錄等具有典型機器行為特征的操作，對異常登錄、調用行為進行分析，發現惡意行為及時告警。

• 異常行為實時監測預警能力：重點監控短時間內大量獲取敏感數據、訪問頻次異常、非工作時間獲取敏感數據等異常調用、異常訪問行為進行實時分析

• 加強數據分類分級管控能力：針對API涉及的敏感數據按照統一策略進行后端脫敏處理，并結合數據加密、傳輸通道加密等方式保護API數據傳輸安全。重點關注接口單次返回數據量過多、返回數據類型過多等情況。

• API數據流向監控能力：通過分析訪問和被訪問IP的局域、地域或法域，實現對數據流向的實時監控，防范數據接收方非法出售或濫用個人信息風險，發現相關違法違規事件及時阻斷API接入應對境外IP訪問內網API或者內部IP訪問境外API的情況重點關注、及時預警。

• 健全應急響應機制：制定API安全事件應急響應預案并納入企業現有應急管理體系，應急流程包括但不限于監測預警及報告、數據泄露事件處置、危機處理及信息披露等環節。

• 健全日志審計機制：對接口訪問、數據調用等操作進行完整日志記錄，并持續開展安全審計。

• 健全數據泄露溯源追責機制：制定API相關安全事件溯源方案，發生安全事件后及時追蹤數據泄露途徑、類型、規模、原因，分析根本原因。

回答所涉及的環境：聯想天逸510S、Windows 10。