身份安全 | 國內(nèi)外API安全事件引發(fā)的探討 - 再談API安全(一)

隨著越來越多的企業(yè)通過網(wǎng)站應(yīng)用對外提供服務(wù)，除了用戶界面，相關(guān)的API也成為訪問數(shù)據(jù)和服務(wù)的對外入口；近年來，由于API漏洞引發(fā)的安全事件，影響面積大，造成了廣泛的影響；例如：臉書2018年由于API的安全漏洞造成2900萬用戶的個人信息泄露，2019年Instagram因API接口漏洞導(dǎo)致用戶數(shù)據(jù)以及照片被泄露；國內(nèi)2018年發(fā)生華住信息泄露事件導(dǎo)致大量用戶個人信息以及開房信息被泄露，這些事件使API安全相關(guān)的問題得到越來越多的關(guān)注。

企業(yè)API安全的實施策略首先要走在攻擊者和黑客的前面了解和發(fā)現(xiàn)自己的API；上面這些事件中的企業(yè)不知道他們存在這些不安全的API直到發(fā)生問題。企業(yè)可以先從移動端應(yīng)用和網(wǎng)站應(yīng)用開始梳理，這些應(yīng)用通常是基于前后端分離的開發(fā)框架，前端基于Angular或React訪問后端服務(wù)API；另外就是應(yīng)用集成的API,這些API通過ESB或iPaas(集成平臺及服務(wù))提供應(yīng)用和數(shù)據(jù)的訪問；這些API無論是否發(fā)布，還是處于研發(fā)過程中都需要符合安全和管理要求；企業(yè)可以通過構(gòu)建API開發(fā)者門戶管理內(nèi)部和外部的API；對于使用的第三方API,如果出現(xiàn)安全漏洞，同樣會影響到到API使用的客戶端。

企業(yè)需要有API平臺團(tuán)隊通過使用API管理平臺實現(xiàn)企業(yè)API的管理和治理，有些API管理工具可以自動發(fā)現(xiàn)云平臺和容器環(huán)境的API，生成API清單；接下來就是對這些API分類管理；這些分類可以在API管理平臺中進(jìn)行標(biāo)注；用于區(qū)分不同API對應(yīng)的安全管理要求。

發(fā)現(xiàn)并將API分類后，就是識別API的潛在漏洞

Web和移動端應(yīng)用包含硬編碼的API密鑰或賬號信息，黑客可以通過反編譯攻擊獲取；例如智能家居和物聯(lián)網(wǎng)廠商Zipato被發(fā)現(xiàn)其某個設(shè)備的API接口實現(xiàn)代碼中包含超級用戶的登錄密鑰。參見https://blackmarble.sh/zipato-smart-hub/amp/

通過中間人攻擊獲取API報文，從而獲取API密鑰或發(fā)現(xiàn)不安全的API。

另外還需要注意“影子API”：未使用、示例用途或原型API，同樣會存在上述安全漏洞，需要發(fā)現(xiàn)并加以保護(hù)。