如今，隨著對企業網路的網路攻擊變得越來越複雜，很多企業通過投資的防火牆、資料和端點保護以及入侵防禦技術來提高周邊安全性。作為迴應，黑客正在走上防範阻力最小的道路，並尋找新的開發途徑。許多安全專家認為，下一波的黑客攻擊將通過利用應用程式程式設計介面(API)來實現。實際上，網路攻擊者在計劃攻擊時已經瞄準了API這個目標。麵包店咖啡連鎖店Panera Bread公司的資料洩露就是一個很好的例子，該公司在其網站上留下了未經驗證的API端點，允許任何人檢視客戶資訊，如使用者名稱、電子郵件地址、電話號碼、信用卡的最後四位數字、出生日期等。最終，在8個多月的時間內有3700萬客戶資料被洩露。這就提出了一個問題：如何較大限度地減少與API相關的不斷增長的網路安全風險，而不會妨礙他們在敏捷開發和擴充套件功能方面提供的好處。API在應用程式開發中的應用已經成為新的事實標準，開發人員利用從第三方提供的服務整合功能，而不是從頭構建所需的全部功能。這為新產品和服務提供了更靈活的開發流程。根據One Poll公司的調查研究，每個企業平均管理363種不同的API，其中這些企業的三分之二以上(69%)將其API向公眾和他們的合作伙伴開放。開發人員可以通過搜尋諸如API Hound之類的API庫來擴充他們的程式碼，API Hound使用機器掃描程式來查詢其50,000多個API，或ProgrammableWeb，它維護著世界上較大的人工策略API目錄，現在已超過17,000個。雖然API支援使用者已經習慣了這種對企業數字化轉型至關重要的互動式數字體驗，但是它們為黑客提供了多個可以訪問企業資料的場所，甚至可能會導致大規模業務中斷。而利用API的常見攻擊方法包括：API引數篡改 - 黑客通常使用這種技術對API進行反向工程或獲得對敏感資料的進一步訪問。會話Cookie篡改 - 這些攻擊嘗試利用cookie來繞過安全機制或嚮應用程式伺服器傳送錯誤資料。中間人攻擊 - 通過竊聽API客戶端和伺服器之間的未加密連線，黑客可以訪問敏感資料。內容操作 - 通過注入惡意內容(例如，中毒JSON Web令牌)，可以在後臺分發和執行漏洞利用程式。DDoS攻擊 - 通過傳送無效的輸入引數，可能會使用編寫不佳的程式碼來佔用計算機資源，從而導致API支援的Web應用程式中斷。為了儘量減少他們對基於API的威脅的暴露程度，組織應採取以下預防措施：1. 思維安全不幸的是，DevOps安全(或者現在所稱的DevSecOps )在軟體開發過程中經常被低估，包括確保面向公眾的API。開發人員需要考慮整個開發過程中API使用的安全影響，其中包括API可用於惡意目的的方式。保護API的基本組成部分在於實現可靠的身份驗證和授權原則。對於API，開發者通常使用通過外部過程(例如，在註冊API時)或通過單獨的機制(例如，OAuth)獲得的訪問令牌。該令牌與每個請求一起傳遞給API，並在處理請求之前由API進行驗證。2. 應用通用的行業安全較佳實踐和標準遵守編碼較佳實踐並密切關注最常見的API漏洞(例如，SQL/指令碼注入和身份驗證漏洞)應成為開發人員和DevSecOps人員的核心較佳實踐。開放Web應用程式安全專案(OWASP)是此類資訊的良好來源。3. 通過API閘道器進行監控將不同的API儲存在應用程式程式碼庫中時，API閘道器可用於監控、分析和限制流量，從而將DDoS攻擊的風險降至較低，並執行預設的安全策略(例如，身份驗證規則)。One Poll公司表示，80%的組織使用公共雲服務來保護API背後的資料，大多數企業使用API閘道器(63.2%)和Web應用防火牆(63.2%)的組合。採用這些DevSecOps建議可以較大限度地降低與API暴露相關的安全風險，並使應用程式免受網路安全漏洞的威脅。宣告：文章收集於網路，如有侵權，請聯絡小編及時處理，謝謝！