API安全问题主要成因

既然API安全问题由来已久，那么API安全的真实情况到底如何？ 不妨先来看一看2020年初的几起数据泄露事件。

2020年33月底，多家网络媒体爆料，某社交平台数据疑似大规模泄 露，涉及53亿多用户，随后社交平台的安全专员回复是在23018年底， 有黑客通过手机通讯录接口，伪造本地通讯录来获得手机号与平台用户 的关联，从而“薅走了一些数据”。针对此次API安全问题，平台已及时 加强了安全策略，并在不断强化。除了某社交平台之外，很多社交App 都有通过通讯录匹配好友的功能。2019年11月，Twitter就出现过利用通 讯录匹配功能获得百万推特用户账号和手机号的数据泄露事件，随后 Facebook关闭了这一功能。而到了2020年4月初，视频会议服务厂商 Zoom又被爆出发现多项安全漏洞，其中包含Facebook Graph API滥用导 致隐私数据泄露问题。除了这些安全事件外，近期的境外媒体报道的API安全事件还有如 下几件。

4月2日，GitLab API问题导致私有项目的名称空间泄露。

4月93日，WordPress插件Rank Math爆出严重的API安全漏洞，借此 漏洞可以直接修改users表信息。

4月16日，网媒报道findadoctor.com网站因API安全问题，导致美国 140万名医生信息泄露。

从如此密集的安全事件都与API相关，大致可以判断出API安全问 题普遍存在，甚至还比较严重。那么，到底导致API安全问题发生的原 因有哪些呢？

1.企业API安全意识不足

从攻击视角来看，当越来越多的企业使用API对外部开放其业务能 力，意图共建生态时，这种新型的攻击面是充满诱惑和不可舍弃的蛋 糕。面对众多开放的API，恶意攻击者往往通过并不复杂的恶意行为， 即可给企业造成重大的危害。发生过安全事件的企业因为造成损失会增 加对API的重视度，但未遭受影响的企业，仍缺乏对API的关注。在API 测试环节，很多团队要么不知道API漏洞，要么直接忽略了API安全测 试；而在API服务发布后，API提供者、API赞助商以及第三方API使用 厂商也在此领域缺少精力投入。这些情况导致API生态中各相关利益方 如API提供者、API赞助商、第三方API使用厂商等）责任不清、监督 失效，API安全处于无人管理的状态。

2.技术革新导致API安全风险增加

由于云计算的快速发展，越来越多的企业将应用和数据迁移至云 端，并暴露核心业务能力和流程相关的API为外部合作伙伴提供服务。 脱离了传统的内网或网络区域划分，云上应用的开发和集成、云端管理 API，被潜在的商业合作伙伴及攻击者使用，无形中使得API安全风险 增大。而大多数企业，没有人能完全掌握系统全部API，开发人员往往 也只是熟悉自己开发的相关模块，且很多技术开发人员认为采纳新的、 酷的技术更重要，在技术路线上选择新的特性，忽视API是否被攻击。 在这种缺少API安全性管理平台又未建立全面系统的API安全管理体系 的情况下，API安全风险更不可控。

3.API自身安全机制不足

企业将数据和能力通过API对外开放获取商机和便利的同时，也为 攻击者攻击提供了通道。为了达到目的，攻击者通过多种手段渗透 API，比如流量型的DDoS攻击、CC攻击；绕过身份鉴别或授权，非法 获取数据；逆向破解API客户端应用后，非法调用API服务。而因API服 务提供方、API开发团队、第三方合作伙伴等多方面原因，API自身的 安全机制存在缺陷，比如缺少身份鉴别或授权访问控制、缺少对敏感数 的加密保护或异常检测手段、缺少对API资产的生命周期管理，导致 很多低版本的影子API。在这些情况下，攻防对抗中API自身安全能力 不足将成为短板，无法应对攻击者发起的恶意行为，反而易成为突破口。