為了提高人們對最嚴重的API安全威脅的認識，開放全球應用程序安全項目 (OWASP) 調查并發布了最嚴重的 API 安全風險列表。您應該查看OWASP 十大 API 安全風險，以掌握最嚴重的威脅并相應地保護您的 API。

影響 API 的安全問題不止于此，因為這不是一份詳盡的清單。

盡管如此，為了方便起見，這里還是列出了 OWASP 2023 年十大 API 安全風險：

OWASP 2023 年十大 API 安全風險

API 安全基礎知識

本節重點介紹 API安全的最基本原則，您應將其視為為設計和實施 API 建立安全基礎的基石。

授權和訪問控制

授權和訪問控制決定用戶或系統可以訪問哪些操作或資源：

• 授權– 授權定義授予經過身份驗證的實體的策略和權限。精心設計的授權系統可確保用戶或系統只能訪問您希望他們訪問的資源和功能。
• 訪問控制– 訪問控制強制執行授權策略，規定如何根據預定義規則授予或拒絕權限。這涉及以下機制：
  • 基于角色的訪問控制 (RBAC) – 用戶或系統具有關聯角色，該角色定義了 API 內的訪問權限。
  • 基于屬性的訪問控制 (ABAC) – 在這種情況下，策略是根據與用戶、系統甚至其他特征直接相關的特定特征來實施的。例如，部門、位置或一天中的時間。這種機制也可以稱為基于策略的訪問控制 (PBAC) 或基于聲明的訪問控制 (CBAC)。

令牌是實現授權的常用方法，在需要身份驗證的設置過程中獲取。它們將攜帶有關授權策略的信息，并在授予用戶或系統訪問權限之前由 API 進行驗證。

最常見的令牌類型是：

• API 密鑰– 向 API 發送的用于識別客戶端的字母數字令牌。通常，API 密鑰授予對 API 可以執行的每個操作的完全訪問權限。它通常用于服務器到服務器的通信或以簡單性為優先的場景。
• 開放授權 (OAuth) – 向 API 發送請求以代表客戶端發出請求而不暴露其憑據的令牌。令牌包含允許對授予的訪問級別進行細粒度控制的信息。這是一個更強大的框架，在涉及用戶的場景中表現出色。通常使用兩個令牌來實現 OAuth：
  • 訪問令牌– 在請求中發送的令牌。訪問令牌可能會過期（可選）。
  • 刷新令牌——當前訪問令牌過期時發送的請求新訪問令牌的令牌。 
• JSON Web 令牌 (JWT) – JWT 是一種緊湊且自包含的令牌，在請求中發送到 API 以識別客戶端。該令牌包含確定身份和訪問范圍所需的數據的 base64 編碼版本。它包含三個部分：指定令牌類型和簽名算法的標頭、帶有聲明或斷言的有效負載以及用于完整性驗證的簽名。

JWT 提供了一種安全傳輸信息的多功能方式，在復雜的環境中特別有用。

根據您的 API 所需的安全措施實施一種或多種機制的組合。

數據加密

通過加密數據，防止攻擊者讀取客戶端和 API 之間交換的數據（傳輸中的數據）和存儲的數據（靜態數據）。

• 傳輸加密– 這是通過 HTTPS 等協議實現的，這些協議會在傳輸過程中自動加密數據，使任何觀察網絡的人都無法理解。例如，有人試圖在公共 Wi-Fi 上竊聽網絡。
• 靜態加密– 這涉及保護存儲在支持 API 的磁盤或數據庫中的數據。如果未經授權訪問服務器或數據中心，攻擊者將無法解密數據。

選擇強大的加密算法、確保密鑰安全以及使用經過驗證的加密庫是全面數據保護策略的關鍵方面。無論是信用卡詳細信息、用戶憑據還是敏感的業務信息，傳輸和靜態加密的應用都可以確保您的 API 以機密性和彈性處理關鍵數據，以抵御潛在攻擊。

輸入驗證

保護 API 不僅限于授權、訪問控制和加密。另一個需要考慮的重要方面是輸入驗證，以防止通過將惡意代碼注入應用程序來利用漏洞進行注入攻擊。

例如，如果未充分驗證 API 請求中的輸入（例如查詢參數），則可能成為注入攻擊的潛在入口點。通過驗證輸入數據，您可以確保其符合預期的格式和標準，從而防范注入漏洞（例如 SQL 注入）。

定義并實施嚴格的輸入驗證策略，并確保您選擇高度安全且完善的庫。

API 安全性的最佳實踐

本節概述了 API 安全的最佳實踐列表，其中包含一些原則和可操作的策略，可增強 API 抵御安全威脅的彈性和可靠性。

前三項最佳實踐證實并強調了我們在討論 API 安全基礎時提到的安全基礎的重要性。但是，您還必須研究其他最佳實踐并考慮應用它們，因為它們將全面提高您的 API 安全性。

授權和訪問控制

根據預定義的角色或屬性實施精細控制并限制對 API 資源的訪問。這可確保用戶或系統僅具有必要的權限。

遵守最小特權原則，確保僅向用戶或系統授予執行特定任務或功能所需的最低訪問權限。這樣，您可以顯著降低未經授權的訪問和數據泄露的風險。

數據加密

使用 HTTPS 等加密協議來保護傳輸中的數據并實施加密。在與 API 和應用程序的所有通信中使用 TLS（傳輸層安全性）。TLS 可確保傳輸過程中數據的機密性（無法讀取）、完整性（無法更改）和身份驗證（我們期望的來源）。

對于靜態數據，請選擇成熟的加密算法和工具來加密磁盤和數據庫。還請考慮對特別敏感的數據進行標記化，這會將數據替換為對攻擊者毫無意義的標記，只有授權方才能將這些標記映射回原始數據。

輸入驗證

仔細檢查并過濾請求中提供的數據，以防止注入漏洞。實施徹底的輸入驗證，以確保數據符合預期的格式和標準。

速率限制和節流

實施機制來控制 API 請求的頻率和數量。速率限制（也稱為節流）有助于降低濫用和拒絕服務攻擊的風險。這可以通過應用程序來實現，需要花費大量的實施時間。不過，它可能會讓您對特定情況進行精細控制，甚至將速率限制與應用程序概念或邏輯聯系起來。

或者，您可以使用 API 網關/防火墻，這通常更簡單，并提供更完整的解決方案，以最小的努力保護整個 API（參見最后的最佳實踐）。

日志記錄和監控

建立系統化的日志記錄實踐并實施監控工具，以檢測和應對異常活動或潛在的安全事件。定期檢查日志并針對可疑行為設置警報。確保您的日志始終能夠回答以下問題：誰？何時？什么？

定期安全審計和測試

定期進行安全審計，包括在開發生命周期內進行滲透測試和代碼審查，以識別和解決潛在漏洞。積極主動地應對新出現的威脅和不斷發展的安全標準。

API 版本控制和生命周期管理

實施版本控制，以便在對 API 進行更改時實現平穩過渡。建立明確的生命周期管理實踐，以淘汰棄用的版本并保持兼容性。

安全的第三方集成

與其他 API 集成會增加對第三方提供商的依賴，以及確保系統安全的復雜性和挑戰。從這個意義上講，在與第三方 API 集成之前充分評估其安全風險并規劃實施階段所需的緩解措施至關重要。

僅分享必要的信息

僅共享必要信息的原則規定，API 在執行特定交易或交互時應披露最少的信息。這一原則對于減少敏感數據的暴露和限制潛在的攻擊媒介至關重要。這一原則也稱為最少披露原則。

API 網關

最后但并非最不重要的一點是，考慮將 API 網關作為管理和保護 API 生態系統的中心點，并強化上面描述的一些最佳實踐。

API 網關提供多種功能：

• 授權– 它可以包括對 API 密鑰、OAuth、JWT 和其他協議的支持。它還可以實施授權策略來控制對特定 API 資源的訪問，確保只有授權用戶或應用程序才能訪問某些端點。
• API 密鑰管理– 處理 API 密鑰或令牌的生成、分發和撤銷，確保安全訪問 API 并有效管理訪問憑據。
• 安全協議和加密– 強制執行 HTTPS 等安全協議，以確保數據加密且安全。管理 TLS 終止，減輕各個 API 加密的復雜性。
• 輸入驗證– 驗證傳入的請求以防止常見的安全威脅，如 SQL 注入、參數篡改和惡意上傳。
• 請求和響應轉換– 修改傳入請求和傳出響應以遵守安全性、合規性或數據格式要求。
• 速率限制和節流– 保護 API 免受過多流量的影響。 
• 日志記錄和監控– 記錄 API 流量，這對于調試、審計和安全分析非常有用。還提供實時監控和分析以跟蹤 API 性能、流量模式和安全問題。
• API 版本和兼容性– 支持舊版本和新版本，確保向后兼容性和 API 版本之間的平穩過渡。
• 路由和請求轉發– 根據預定義的規則和配置將傳入的請求路由到適當的后端服務或微服務。
• 負載平衡– 優化資源利用率并增強整體 API 可靠性。
• 緩存– 通過減少后端服務器的負載并最小化響應時間來提高 API 性能。
• 可擴展性和高可用性– 水平擴展以處理增加的 API 流量，并可部署在多個區域或數據中心以確保高可用性和災難恢復。
• 跨源資源共享 (CORS) – 強制執行 CORS 策略來控制哪些域可以訪問 API，幫助防止跨源請求攻擊并確保跨源 API 請求的安全。
• 策略執行和可擴展性– 支持自定義安全策略的執行，并與安全插件和擴展集成，以適應不斷變化的安全威脅和合規性要求。

測試 API 安全性

API 安全測試是應對不斷演變的威脅的基礎。如果定期系統地進行測試，您肯定會提高 API 抵御潛在威脅的穩健性。

API 安全測試的類型

在API安全方面，可以采用各種測試方法來發現漏洞并確保更全面地識別 API 中的漏洞。

以下是一些需要考慮的測試類型的列表：

• 授權測試– 評估 API 授權機制（例如 API 密鑰、OAuth、JWT）的有效性，并檢查授權策略和控制是否正確實施和執行。此外，驗證 API 令牌、密鑰和憑據的安全生成、存儲和撤銷，以防止未經授權的訪問。
• 數據安全測試– 評估 API 對敏感數據的處理。這包括驗證數據加密、適當的數據屏蔽以及防止數據泄露的措施。
• 滲透測試– 對 API 進行受控攻擊，以識別漏洞并評估其對現實威脅的抵抗力。滲透測試人員模擬 SQL 注入、服務器端請求偽造 (SSRF) 等攻擊。
• 模糊測試– 通過向 API 提供無效或意外的輸入來檢測潛在的安全漏洞。模糊測試旨在識別與輸入驗證、數據解析和錯誤處理相關的漏洞。
• 錯誤處理和日志測試– 評估 API 的錯誤處理機制和日志記錄實踐。查找通過錯誤消息泄露的潛在信息，并評估 API 處理惡意或意外輸入的能力。
• 合規性測試——確保 API 符合行業特定的法規和標準，例如 GDPR、HIPAA 或 PCI DSS，這些法規和標準規定了如何保護敏感數據。
• 負載測試– 分析 API 在高流量條件下的行為，以確定其容量和限制，確保 API 能夠處理增加的用戶負載，而不會降低性能或安全性。更重要的是，它還有助于防止拒絕服務 (DoS) 和分布式拒絕服務 (DDoS) 攻擊的情況。 

測試工具和框架

選擇正確的工具和框架會顯著影響 API 安全測試的有效性。以下是一些必備工具和框架的列表：

1. Probely DAAST（動態 API 和應用程序安全測試） ——一款強大且可擴展的安全測試工具，用于識別 Web 應用程序和 API 中的安全漏洞。其廣泛的漏洞和合規性測試、配置和集成功能、自動化和詳細報告使其成為 API 安全的寶貴資產。
2. OWASP ZAP（Zed Attack Proxy） ——一種多功能開源安全測試工具，廣泛用于 Web 應用程序和 API 安全評估。它提供自動掃描程序，用于識別常見漏洞，以進行全面測試。
3. Burp Suite – 用于滲透測試的安全測試工具，具有 API 測試的特定功能。它包括掃描和分析 API、攔截請求和響應以及識別安全漏洞（如 SSRF 或 SQL 注入）的功能。
4. Postman – 一款簡化測試流程的 API 開發和測試工具。它允許測試人員創建和管理 API 請求、自動化測試和監控響應。雖然它主要是一種開發工具，但由于其易用性和自動化功能，可以有效地用于安全測試。
5. Jenkins – 一種常用于持續集成和持續交付 (CI/CD) 管道的自動化服務器。雖然 Jenkins 本身并不是一個測試工具，但可以通過將其與其他安全測試工具和腳本集成來自動化 API 安全測試。
6. SwaggerHub Explore – 一種基于云的工具，用于測試使用 Swagger 或 OpenAPI 規范記錄的 API。它有助于發送請求并在開發過程中發現潛在的安全問題。

根據您的安全測試目標、被測試 API 的性質以及測試團隊的專業知識選擇正確的工具和框架。

保障數字世界的門戶安全

如果沒有適當的 API 安全性，敏感數據和功能的網關將完全被解鎖，任何人都可以輕易進入，有時甚至沒有人注意到，直到為時已晚。

API 安全不應被視為奢侈品，而應被視為必需品。由于 API 已成為我們日益互聯的數字環境中現代應用程序和服務不可或缺的一部分，因此需要采取保護措施來保護它們免受數字世界中眾多威脅和惡意行為者的侵害。

我們希望本指南能為您提供一個很好的介紹，讓您知道您應該擔心什么，以及如何開始關注這些網關的安全性。即使您認為自己受到了保護，那些惡意行為者的技巧和狡猾程度也不容小覷，而且隨著時間的推移，他們的技術水平將越來越高。

文章來源：A Comprehensive Intro Guide to API Security