官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
前言
在前面关于devsecops的文章中,反复提到了关于API安全方面的知识,这篇文章来看看API安全应该如何去做。目前,越来越多的互联网企业开始使用了微服务的架构,那么作为其重要支撑技术的API正在被大规模的使用。第三方API(Application Programming Interface)使用也是将API与现有系统集成的一种非常流行的模型。API作为连接服务和传输数据的重要通道,已经从简单的接口转变为IT架构的重要组成部分,成为数字时代的新型基础设施,它是一种重要且特殊的数字化资产。对于企业来说如何管控API的安全也越来越重要。
API通信作为互联网流量的载体承载了绝大部分业务应用间服务的连接和调用。
由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~
API分类
API可以按照下面的方式进行分类。
API面临的风险
API作为承载敏感信息的载体,自然也吸引了攻击者的目光,从以前的经验来看,主要存在下面的一些风险
1)内部调用的API未受管控对外开放或者可以突破隔离违规访问内部API
2)通过页面不显示的方式隐藏API,认为攻击者拿不到这些API
3)存在影子API,API接口在未受管控下对外开放
4)API中包含敏感信息,违反合规需求
5)API同样受到各种常规漏洞的影响,如OWASP组织推出了OWASP API Security TOP 10
5)0day漏洞
API安全建设
要进行API的安全防护,可以从下面的几个方面去做
API资产梳理:这个是API安全最基础的部分,只有全面掌握所有的API资产才能去做接下来的事情。不