API安全专题(四)| API 运行时安全风险点分析及应对指南
作者: 日期:2022年12月08日 阅:7,488

在数据汹涌奔腾的世界中,数字化进程不断深入,越来越多的企业开始将 API 作为重要的资源连接工具应用在业务层面中。有数据统计,整个 Web 网站有 83%的流量是通过 API 来访问的。与此同时,API流量正在快速增长,大约 44% 的企业正在建造和维护超过 100 个API接口。

随着企业内部应用逐渐由单一架构发展为低耦合、高内聚的服务网格架构,当前架构下业务内部的数据交换大量采用API的方式进行连接,API 运行时安全性已日渐成为网络应用方面的主要技术需求之一。

API 运行时安全的常见风险点分析

与 Web 应用程序一样,API 也是使用 HTTP/S来被 Web 浏览器进行外部访问的。由于其建立的标准、使用的协议均不相同,API 在开发、部署过程中,不可避免会产生各种安全漏洞,这些安全漏洞会导致其通信协议、请求方式、请求参数、响应参数、访问行为等环节出现难以发现的缺陷。同时因业务逻辑漏洞层出不穷,使得发生大量的异常行为,如:未效验造成异常大量请求,未对数据做脱敏造成数据泄露等。API 运行时面临诸多内外部威胁,详见如下描述:

1

访问控制不健全

在 API 设计阶段未对用户或访问 IP 进行速率限制,导致攻击者可持续高频地使用多个虚假用户或 IP 访问 API,从而严重消耗服务器资源,造成其他正常用户无法访问相关接口。

2

数据明文传输

API 在传输数据的过程中采用明文传输,未对其进行加密,攻击者可利用网络嗅探等技术手段直接获取 API 的交互格式和数据,造成大量数据泄露。

3

代码开发不规范

缺乏统一的编码规范,容易因开发维护不当造成安全漏洞等脆弱性因素,为 API 带来严重安全隐患。不法分子可通过安全漏洞、恶性 Bug 等因素获取敏感信息、造成服务器失陷。

4

传统手段无法应对新型业务风险

前期设计 API 时,不重视 API 安全机制,随着 API 上承载业务的复杂度越来越大,更新频率越来越高,依靠传统自动化+人工渗透的手段进行漏洞发现和事后补救措施,很难有效应对API业务逻辑漏洞。

5

第三方组件安全性“参差不齐”

在应用开发过程中引入开源或第三方插件、加载库、模块、框架等,引用的开源软件或模块存在安全问题,导致漏洞、恶意代码、“后门”等安全隐患被引入 API 接口。

6

账户权限划分不清晰

  • 账户越权:设计之初API服务端没有设置权限控制或权限控制,存在缺陷,造成水平越权、垂直越权等安全隐患;
  • 数据权限:API 在设计时,为了兼容多个功能将较多数据混合一起传输至前端,然后让前端去筛选对应数据,导致 API 返回数据过多,攻击者可通过流量拦截等方式获取 API 原始数据,造成数据泄漏。

API 运行时风险应对指南

如今 API 安全已成为提供 API 服务的企业之间以及企业内部都需要关注的一个安全问题,一旦没有很好的保护好提供服务的 API,不仅会对用户的使用体验以及个人隐私带来威胁和风险,而且可能会使企业面临安全威胁和风险,API 安全已成为重中之重。实现移动应用平台间的互联互通,推进 API 运行时安全有效落实,梆梆安全技术专家建议从以下方面着手:

1. 异常行为治理

  • 异常行为监测:基于可扩展的行为检测模型,实现对异常的高频访问行为、异常的数量级数据访问行为、异常时间访问等异常行为实现实时监测预警;
  • API 限流限速:对 API 请求执行一定的限流、限速策略,用于缓解基于 API 的 DDoS 攻击,有效防止资源消耗在无意义或恶意的 API 请求上。

2. 敏感数据治理

  • 敏感数据识别:对数据分级分类治理,同时采用技术手段对 API 访问的数据进行持续监测,自动梳理出 API 接口中的敏感数据流,确保个人隐私数据、商业数据以及其他敏感数据能够持续被监控;
  • 敏感数据加解密:对数据信息的交互进行加密,保障数据在整个业务流量交互过程中,特殊的敏感信息做加密或做脱密处理,例如身份证号、姓名、手机号码、银行卡号等,减少敏感信息的泄漏风险。

3. 资产弱点发现

  • 业务自身漏洞发现:随着攻击面的变化及攻击者手段的隐秘多变,应建立持续挖掘、收集 API 相关漏洞的能力和机制,并做好相关补丁管理;
  • 第三方组件漏洞发现:在引入第三方组件时充分考虑组件自身安全,避免第三方组件引入的漏洞。

4. 完善身份认证和授权机制

  • 完善身份认证机制:对现有身份认证机制密码强度、双因素认证、密码更新等安全要素进行评估,完善身份认证机制;
  • 完善访问控制授权机制:严格遵循最小必要权限原则,尤其是针对数据增、删、改等高危操作的 API,一定要严格限制用户权限。对涉及敏感数据的 API 加强接入方资质和数据安全防护能力审核,规范合作要求,避免因接入方原因导致数据安全事件。

未来,企业将面临诸多未知的 API 安全攻击,API 的安全建设将成为企业的重点工作。梆梆安全将结合自身多年的安全实践与技术优势,为企业用户提供适应新要求、新形势下的新一代 API 风险解决方案,构建合规要求下的数据安全治理体系,持续提高数据安全治理能力,加速赋能千行百业数字化转型。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章