API 的攻擊面包括哪些

API的攻擊面主要有以下幾點：

• 傳統WEB攻擊：API承擔了WEB應用前后端的通信，API出現RCE、SQL注入等WEB漏洞屬于常態。

• API協議攻擊：API除了plain HTTP、REST等可復用傳統安全能力的協議之外，仍有諸多協議標準，如GRPC、Dubbo、GraphQL等，其攻擊面、漏洞測試方式與入侵檢測方式，與傳統WEB安全有著明顯差異。在復雜業務架構中，WEB HTTP API只是冰山一角，這些新興的API通信標準在后端占比越來越重。

• 數據安全：API承載了應用各組件間數據的流動。在數據安全領域，我們需要關注API攜帶了哪些敏感數據、對誰開放、對方如何使用這些數據等問題。企業被爆出數據泄露事件屢見不鮮，除了數據庫被攻陷之外，其中很大部分是導致攜帶敏感數據的API鑒權出問題，導致外部攻擊者通過不斷訪問API拖取敏感數據。

• 業務安全：從API視角解決爬蟲、撞庫、刷單、薅羊毛等業務安全問題，尤其是2C端app的API管控。

回答所涉及的環境：聯想天逸510S、Windows 10。