身份安全 | 國(guó)內(nèi)外API安全事件引發(fā)的探討 - 再談API安全(一)

隨著越來(lái)越多的企業(yè)通過(guò)網(wǎng)站應(yīng)用對(duì)外提供服務(wù)，除了用戶界面，相關(guān)的API也成為訪問(wèn)數(shù)據(jù)和服務(wù)的對(duì)外入口；近年來(lái)，由于API漏洞引發(fā)的安全事件，影響面積大，造成了廣泛的影響；例如：臉書(shū)2018年由于API的安全漏洞造成2900萬(wàn)用戶的個(gè)人信息泄露，2019年Instagram因API接口漏洞導(dǎo)致用戶數(shù)據(jù)以及照片被泄露；國(guó)內(nèi)2018年發(fā)生華住信息泄露事件導(dǎo)致大量用戶個(gè)人信息以及開(kāi)房信息被泄露，這些事件使API安全相關(guān)的問(wèn)題得到越來(lái)越多的關(guān)注。

企業(yè)API安全的實(shí)施策略首先要走在攻擊者和黑客的前面了解和發(fā)現(xiàn)自己的API；上面這些事件中的企業(yè)不知道他們存在這些不安全的API直到發(fā)生問(wèn)題。企業(yè)可以先從移動(dòng)端應(yīng)用和網(wǎng)站應(yīng)用開(kāi)始梳理，這些應(yīng)用通常是基于前后端分離的開(kāi)發(fā)框架，前端基于Angular或React訪問(wèn)后端服務(wù)API；另外就是應(yīng)用集成的API,這些API通過(guò)ESB或iPaas(集成平臺(tái)及服務(wù))提供應(yīng)用和數(shù)據(jù)的訪問(wèn)；這些API無(wú)論是否發(fā)布，還是處于研發(fā)過(guò)程中都需要符合安全和管理要求；企業(yè)可以通過(guò)構(gòu)建API開(kāi)發(fā)者門戶管理內(nèi)部和外部的API；對(duì)于使用的第三方API,如果出現(xiàn)安全漏洞，同樣會(huì)影響到到API使用的客戶端。

企業(yè)需要有API平臺(tái)團(tuán)隊(duì)通過(guò)使用API管理平臺(tái)實(shí)現(xiàn)企業(yè)API的管理和治理，有些API管理工具可以自動(dòng)發(fā)現(xiàn)云平臺(tái)和容器環(huán)境的API，生成API清單；接下來(lái)就是對(duì)這些API分類管理；這些分類可以在API管理平臺(tái)中進(jìn)行標(biāo)注；用于區(qū)分不同API對(duì)應(yīng)的安全管理要求。

發(fā)現(xiàn)并將API分類后，就是識(shí)別API的潛在漏洞

Web和移動(dòng)端應(yīng)用包含硬編碼的API密鑰或賬號(hào)信息，黑客可以通過(guò)反編譯攻擊獲?。焕缰悄芗揖雍臀锫?lián)網(wǎng)廠商Zipato被發(fā)現(xiàn)其某個(gè)設(shè)備的API接口實(shí)現(xiàn)代碼中包含超級(jí)用戶的登錄密鑰。參見(jiàn)https://blackmarble.sh/zipato-smart-hub/amp/

通過(guò)中間人攻擊獲取API報(bào)文，從而獲取API密鑰或發(fā)現(xiàn)不安全的API。

另外還需要注意“影子API”：未使用、示例用途或原型API，同樣會(huì)存在上述安全漏洞，需要發(fā)現(xiàn)并加以保護(hù)。