En 400-6655-581
5
返回列表
> 資源中心 > 身份安全 | 國內外API安全事件引發(fā)的探討 - 再談API安全(一)

身份安全 | 國內外API安全事件引發(fā)的探討 - 再談API安全(一)

2020-08-31瀏覽次數:1284
背景介紹

隨著越來越多的企業(yè)通過網站應用對外提供服務,除了用戶界面,相關的API也成為訪問數據和服務的對外入口;近年來,由于API漏洞引發(fā)的安全事件,影響面積大,造成了廣泛的影響;例如:臉書2018年由于API的安全漏洞造成2900萬用戶的個人信息泄露,2019年Instagram因API接口漏洞導致用戶數據以及照片被泄露;國內2018年發(fā)生華住信息泄露事件導致大量用戶個人信息以及開房信息被泄露,這些事件使API安全相關的問題得到越來越多的關注。


許多企業(yè)對于自身有哪些API對外提供服務或使用了哪些API缺乏統一的管理,增加了API安全實現的復雜度;業(yè)界將API安全劃分為2種實現機制,一是API威脅防護,指檢測和阻止API的攻擊;另一個是API訪問控制,指提供用戶授權訪問哪些應用的API;企業(yè)需要構建自己的API安全策略,通過對API的全面的防護,避免出現可能引發(fā)的安全問題。


方法介紹

企業(yè)API安全的實施策略首先要走在攻擊者和黑客的前面了解和發(fā)現自己的API;上面這些事件中的企業(yè)不知道他們存在這些不安全的API直到發(fā)生問題。企業(yè)可以先從移動端應用和網站應用開始梳理,這些應用通常是基于前后端分離的開發(fā)框架,前端基于Angular或React訪問后端服務API;另外就是應用集成的API,這些API通過ESB或iPaas(集成平臺及服務)提供應用和數據的訪問;這些API無論是否發(fā)布,還是處于研發(fā)過程中都需要符合安全和管理要求;企業(yè)可以通過構建API開發(fā)者門戶管理內部和外部的API;對于使用的第三方API,如果出現安全漏洞,同樣會影響到到API使用的客戶端。


企業(yè)需要有API平臺團隊通過使用API管理平臺實現企業(yè)API的管理和治理,有些API管理工具可以自動發(fā)現云平臺和容器環(huán)境的API,生成API清單;接下來就是對這些API分類管理;這些分類可以在API管理平臺中進行標注;用于區(qū)分不同API對應的安全管理要求。

發(fā)現并將API分類后,就是識別API的潛在漏洞



下圖是通常出現API漏洞的路徑




1
在資料庫或共享存儲中的API密鑰




API密鑰或其他賬號信息,例如SSH訪問密鑰、數據庫訪問賬號等,這些密鑰保存在云儲存(Amazon S3, 百度云盤)或代碼資料庫(Github),由于沒有配置訪問控制,使得這些信息可以被公開訪問,上述華住信息泄露事件就是由于開發(fā)人員將內部數據庫訪問信息和賬號放在公開Github資料庫中導致被黑客利用。



2
硬編碼的API密鑰




Web和移動端應用包含硬編碼的API密鑰或賬號信息,黑客可以通過反編譯攻擊獲??;例如智能家居和物聯網廠商Zipato被發(fā)現其某個設備的API接口實現代碼中包含超級用戶的登錄密鑰。參見https://blackmarble.sh/zipato-smart-hub/amp/



3
API邏輯缺陷




API存在可以被利用的Bug或邏輯缺陷;例如在線游戲平臺Steam被發(fā)現其某個API的Bug可以用于獲取激活任何一個游戲的密鑰。參見https://www.zdnet.com/article/steam-bug-could-have-given-you-access-to-all-the-cd-keys-of-any-game/



4
API訪問嗅探




通過中間人攻擊獲取API報文,從而獲取API密鑰或發(fā)現不安全的API。

另外還需要注意“影子API”:未使用、示例用途或原型API,同樣會存在上述安全漏洞,需要發(fā)現并加以保護。


企業(yè)通過API管理平臺發(fā)現和整理自身提供和使用的API,識別API的潛在漏洞;接下來需要通過基礎架構平臺中的相關組件來實現API安全,這將在后續(xù)的文章中詳細介紹并探討。




參考文檔:

- Gartner報告:API Security: What You Need to Do to Protect Your APIs