API面临的安全问题

据权威报告显示，以API为目标的攻击是以HTML应用为目标攻击的三倍，部分攻击造成了严重的业务中断，攻击者利用弱身份认证、授权和注入漏洞实施攻击的方法仍然普遍，而利用Json、XML等基于解析器的攻击以及第三方API集成带来的风险正在增加，经综合分析，API的攻击类型包括：

(1) 凭证类攻击

据统计，2018-2020期间，有1000亿次的凭证盗用攻击,而且每年攻击的复杂度和数量都在持续增加，凭证盗用攻击的代价高达2280万美元，平均每30秒就有一位凭证盗用的受害者。攻击者通过购买、钓鱼、漏洞利用等方式获得API登录凭证，继而利用僵尸网络接入客户站点API，盗取客户数据或者个人信息。

(2) 可用性攻击

当API端点对外暴露，攻击者就可以利用DDOS或者攻击API解析器，造成API无法提供相应服务。对于DDOS，除了部署常规Anti-DDOS设备以外，还要关注合作伙伴API的DDOS攻击承受能力，如果仅仅依靠合作伙伴的安全措施，原始API就得不到保护。而针对API解析器的攻击则更具有针对性，可能造成哈希值冲突或者反序列化异常，进而拒绝API请求。

(3) 漏洞利用攻击

漏洞利用是所有应用程序面临的安全威胁，API也不能例外。通过在API的函数参数、Json、XML等有效负载嵌入恶意代码，实施目录转换、命令注入、SQL注入、XSS、绕过身份认证和授权等常见的API攻击手段，达到敏感数据窃取或破坏系统的目的。更进一步，API攻击已经工具化，攻击者能够利用工具搜集用于攻击的域名和API列表，再使用其他工具查找或删除敏感数据。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!