讓我們討論一下 API 管道的各個(gè)階段。

開(kāi)發(fā)/編碼

API 誕生于開(kāi)發(fā)中，理想情況下，首先要制定一個(gè) OpenAPI 規(guī)范（OAS spec）來(lái)形式化 API，指定參數(shù)，確定可能的返回參數(shù)和代碼等。

許多開(kāi)發(fā)人員使用集成開(kāi)發(fā)環(huán)境 (IDE) 來(lái)組織環(huán)境，例如VSCode（開(kāi)源）、PyCharm（社區(qū)和付費(fèi)層）或GoLand（付費(fèi)層）。

根據(jù) IDE，可能會(huì)有擴(kuò)展程序幫助您編寫 OAS 規(guī)范。例如，VSCode 有多個(gè) OAS 規(guī)范 linter 擴(kuò)展，可以靜態(tài)標(biāo)記規(guī)范問(wèn)題，例如Spectral（開(kāi)源）和Postman （免費(fèi)和付費(fèi)）。Spectral 擴(kuò)展甚至有一個(gè)OWASP Top 10 API 安全風(fēng)險(xiǎn)規(guī)則集。Panoptica?（免費(fèi)試用版和付費(fèi)版）可以從命令行運(yùn)行不同的OAS 規(guī)范 linter 。

AI 副駕駛現(xiàn)在非常流行，可用于開(kāi)發(fā) API 客戶端/服務(wù)器代碼。流行的 AI 副駕駛包括GitHub Copilot（付費(fèi)層）等。

請(qǐng)注意，并非所有 API 安全問(wèn)題都可以靜態(tài)檢測(cè)。許多問(wèn)題只能在動(dòng)態(tài)環(huán)境中檢測(cè)到，其中 API 調(diào)用實(shí)際上正在被執(zhí)行。

API 代碼完成后，就可以進(jìn)行單元測(cè)試了。

單元測(cè)試

開(kāi)發(fā)完成后，API 代碼將接受單元測(cè)試，其中會(huì)進(jìn)行“模擬”API 調(diào)用以驗(yàn)證 API 是否正常運(yùn)行。單元測(cè)試環(huán)境仍然是靜態(tài)的，因?yàn)楸M管可以調(diào)用客戶端和服務(wù)器函數(shù)，但應(yīng)用程序并未作為一個(gè)整體運(yùn)行。

有許多工具可以自動(dòng)生成模擬 API 代碼并運(yùn)行模擬 API 服務(wù)器，包括WireMock（開(kāi)源）、Mockoon（開(kāi)源）、Microcks（開(kāi)源）、Postman（免費(fèi)和付費(fèi)）、RestAssured（開(kāi)源）和SoapUI（開(kāi)源）。

一旦編寫并通過(guò)單元測(cè)試，API 代碼就可以用于 CI/CD。

持續(xù)集成/持續(xù)交付（CI/CD）

在 CI/CD 中，代碼提交進(jìn)行代碼審查，構(gòu)建鏡像，并自動(dòng)運(yùn)行一些門控測(cè)試。門控測(cè)試包括靜態(tài)測(cè)試（例如單元測(cè)試和 OAS spec linters）和動(dòng)態(tài)測(cè)試（例如端到端功能測(cè)試），其中實(shí)際安裝了代碼，并且可以以自動(dòng)化方式測(cè)試基本功能。

如果 CI/CD 測(cè)試全部通過(guò)，則代碼可以合并到代碼存儲(chǔ)庫(kù)并在暫存區(qū)進(jìn)行測(cè)試。

暫存環(huán)境

暫存環(huán)境與實(shí)際生產(chǎn)環(huán)境類似，但獨(dú)立用于內(nèi)部測(cè)試。在暫存環(huán)境中，應(yīng)用程序已安裝，質(zhì)量保證團(tuán)隊(duì)可以驗(yàn)證其功能。

高可用性和性能測(cè)試也可以在階段運(yùn)行。高可用性測(cè)試涉及驗(yàn)證應(yīng)用程序中是否存在單點(diǎn)故障。性能測(cè)試驗(yàn)證您的應(yīng)用程序是否能夠大規(guī)模執(zhí)行，其中包括大量 API 流量。

API 性能和負(fù)載測(cè)試的工具包括Locust（開(kāi)源）、SoapUI 和 Postman。

另一種在準(zhǔn)備階段很有用的工具是模糊測(cè)試器。模糊測(cè)試器將壞數(shù)據(jù)傳遞到應(yīng)用程序中的 API 端點(diǎn)，并試圖對(duì)應(yīng)用程序產(chǎn)生負(fù)面影響（例如使其停止響應(yīng)、崩潰、泄露數(shù)據(jù)等）。模糊測(cè)試工具的示例包括RESTler（開(kāi)源）和 Panoptica。

Greenfield Deployment

應(yīng)用程序首次部署到生產(chǎn)環(huán)境時(shí)，稱為“Greenfield Deployment”。在綠地部署中，由于沒(méi)有現(xiàn)有工件，因此不存在任何版本控制或升級(jí)問(wèn)題。

在生產(chǎn)環(huán)境中，您可以動(dòng)態(tài)掃描實(shí)時(shí) API 流量以查找安全風(fēng)險(xiǎn)，從而保護(hù)您的應(yīng)用程序。Panoptica?CNAPP 平臺(tái)擁有一整套 API 安全功能，我們將在下面討論。

Brownfield Deployment

Brownfield Deployment是指在現(xiàn)有生產(chǎn)環(huán)境中升級(jí)應(yīng)用程序。

對(duì)于Brownfield ，API 向后兼容性和版本控制等因素開(kāi)始發(fā)揮作用。例如，在應(yīng)用程序升級(jí)為新版本后，API 客戶端可以繼續(xù)使用以前的 OAS 規(guī)范版本。必須支持多個(gè) API 版本。

金絲雀部署是一種Brownfield ，其中應(yīng)用程序的不同版本同時(shí)運(yùn)行，以降低新版本的風(fēng)險(xiǎn)。金絲雀部署僅管理總 API 流量的子集。在這里，API 向后兼容性和版本控制也是重要的考慮因素。

預(yù)防管道中常見(jiàn)的 API 安全問(wèn)題

現(xiàn)在我們已經(jīng)討論了 OWASP 十大 API 安全風(fēng)險(xiǎn)和完整的 API 管道，讓我們來(lái)看看一些常見(jiàn)的 API 安全問(wèn)題以及如何在整個(gè)管道中預(yù)防它們。

BOLA

根據(jù) OWASP 的數(shù)據(jù)，BOLA 是 2023 年最普遍的 API 安全問(wèn)題。它們包含在問(wèn)題 API1:2023（損壞的對(duì)象級(jí)別授權(quán)）和 API3:2023（損壞的對(duì)象屬性級(jí)別授權(quán)）中。

如前所述，在 BOLA 攻擊中，最終用戶能夠訪問(wèn)他們無(wú)權(quán)訪問(wèn)的數(shù)據(jù)，通常是因?yàn)樵獢?shù)據(jù)在應(yīng)用程序的 API 響應(yīng)中泄露。

由于數(shù)據(jù)（尤其是 PII）是泄露的主要目標(biāo)，任何未經(jīng)授權(quán)的訪問(wèn)都會(huì)是一個(gè)巨大的安全問(wèn)題。

如何防止 BOLA 穿過(guò) API 管道？

• 在開(kāi)發(fā)過(guò)程中，請(qǐng)確保您的應(yīng)用程序中具有強(qiáng)大的授權(quán)模型，不允許未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)，并確保 API 響應(yīng)中沒(méi)有數(shù)據(jù)泄露。
• 在開(kāi)發(fā)和 CI/CD 中，使用OAS 規(guī)范 linters（前面討論過(guò)）來(lái)標(biāo)記潛在的授權(quán)問(wèn)題。
• 在單元測(cè)試和 CI/CD 期間，運(yùn)行嘗試在未經(jīng)授權(quán)的情況下訪問(wèn)數(shù)據(jù)的模擬 API 流量。
• 在 CI/CD 和暫存階段，針對(duì)您的 API 端點(diǎn)運(yùn)行模糊測(cè)試器，它會(huì)將錯(cuò)誤輸入發(fā)送到 API 并標(biāo)記任何意外的數(shù)據(jù)訪問(wèn)。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具來(lái)檢查 API 流量并標(biāo)記潛在的 BOLA 問(wèn)題。Panoptica 具有 BOLA 檢測(cè)功能。

BFLAs

當(dāng)最終用戶調(diào)用應(yīng)用程序或應(yīng)用程序微服務(wù)之間未經(jīng)適當(dāng)授權(quán)訪問(wèn)應(yīng)用程序功能時(shí)，就會(huì)發(fā)生 BFLA。BOLA（上文）是關(guān)于訪問(wèn)數(shù)據(jù)的，BFLA 是關(guān)于訪問(wèn)功能的。未經(jīng)授權(quán)訪問(wèn)功能最終會(huì)導(dǎo)致數(shù)據(jù)泄露。BFLA 是 OWASP 問(wèn)題 API5:2023（功能級(jí)別授權(quán)損壞）。

如何防止 BFLA 跨 API 管道？

• 在開(kāi)發(fā)過(guò)程中，確保您擁有強(qiáng)大的授權(quán)模型，以便從最終用戶和微服務(wù)之間訪問(wèn)應(yīng)用程序功能。
• 在單元測(cè)試和 CI/CD 中，運(yùn)行嘗試在未經(jīng)授權(quán)的情況下訪問(wèn)應(yīng)用程序功能的模擬 API 流量。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具來(lái)檢查 API 流量并標(biāo)記潛在的 BFLA 問(wèn)題。Panoptica 能夠?qū)W習(xí) BFLA 授權(quán)模型，然后檢測(cè)實(shí)時(shí)流量中的任何潛在違規(guī)行為。

弱身份驗(yàn)證

應(yīng)用程序的弱身份驗(yàn)證更容易被攻擊者攻陷。它可以讓威脅者訪問(wèn)用戶帳戶和數(shù)據(jù)。弱（或失效）身份驗(yàn)證包含在 OWASP 問(wèn)題 API2:2023（失效身份驗(yàn)證）和 API8:2023（安全配置錯(cuò)誤）中。

其中一種形式是基本身份驗(yàn)證，它需要用戶名和密碼，但密碼本身很“弱”。這包括短密碼、太常見(jiàn)的密碼（例如可以在字典搜索中找到）或跨帳戶重復(fù)使用的密碼。

弱身份驗(yàn)證也可能是由于端點(diǎn)安全性弱造成的，例如使用 HTTP 而不是 HTTPs。

最后，加密問(wèn)題也屬于這一類。沒(méi)有加密或加密薄弱的端點(diǎn)可能會(huì)為您的應(yīng)用程序打開(kāi)攻擊面。如果沒(méi)有任何加密，所有 API 流量都是“明文的”，這意味著它可以被竊聽(tīng)和輕松讀取。弱加密可能涉及較短的加密密鑰，很容易被破解。

如何防止 API 管道中出現(xiàn)弱身份驗(yàn)證？

• 開(kāi)發(fā)啟用強(qiáng)加密的安全端點(diǎn)（例如 HTTPs）。
• 對(duì)于基本身份驗(yàn)證，需要強(qiáng)密碼和多因素身份驗(yàn)證(MFA)。
• 在開(kāi)發(fā)和 CI/CD 中，使用OAS 規(guī)范 linters（特別是 OWASP Top 10 規(guī)則集）來(lái)標(biāo)記不安全的端點(diǎn)問(wèn)題。
• 在單元測(cè)試和 CI/CD 中，運(yùn)行使用弱身份驗(yàn)證并嘗試獲取訪問(wèn)權(quán)限的模擬 API 流量。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具來(lái)標(biāo)記實(shí)時(shí) API 流量中的弱身份驗(yàn)證。Panoptica 可以檢測(cè)多種形式的弱身份驗(yàn)證。

影子 API

OWASP 問(wèn)題 API9:2023（庫(kù)存管理不當(dāng)）包括影子 API。影子 API 未記錄在 OAS 規(guī)范中。它們是一種您甚至可能不知道的安全風(fēng)險(xiǎn)。

隨著應(yīng)用程序的發(fā)展，影子 API 的安全性不太可能隨之發(fā)展。它們甚至可能會(huì)被完全遺忘，從而暴露出應(yīng)用程序中持續(xù)存在的安全漏洞或后門。

如何防止影子 API 跨 API 管道？

• 在開(kāi)發(fā)過(guò)程中，請(qǐng)確保對(duì)所有 API進(jìn)行盤點(diǎn)，并在 OAS 規(guī)范中記錄每個(gè) API。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具，這些工具可以檢測(cè)實(shí)時(shí)流量中的影子 API，并為其重建OAS 規(guī)范，以便正確記錄它們。Panoptica 具有這些功能。

僵尸 API

OWASP 問(wèn)題 API9:2023（庫(kù)存管理不當(dāng)）也包括僵尸 API。僵尸 API 是 OAS 規(guī)范中已棄用但仍在應(yīng)用程序中活動(dòng)的 API。它們出現(xiàn)在棕地和金絲雀生產(chǎn)環(huán)境中，這些環(huán)境中可能正在使用多個(gè) API 版本。
與影子 API 一樣，僵尸 API 不太可能隨您的應(yīng)用程序一起發(fā)展，并且從安全角度來(lái)看可能受到較少的審查，從而為您的應(yīng)用程序留下后門。

如何防止僵尸 API 穿過(guò) API 管道？

• 盡快刪除對(duì)僵尸（已棄用）API 的支持。
• 在準(zhǔn)備和生產(chǎn)過(guò)程中，運(yùn)行可以檢測(cè)實(shí)時(shí)流量中的僵尸 API 的動(dòng)態(tài) API 安全工具，例如 Panoptica。

弱第三方身份驗(yàn)證

即使您的應(yīng)用程序數(shù)據(jù)訪問(wèn)確實(shí)安全，薄弱的第三方^身份驗(yàn)證仍可能使您的數(shù)據(jù)面臨威脅。第三方^對(duì)您的數(shù)據(jù)的訪問(wèn)包括數(shù)據(jù)庫(kù)、S3 存儲(chǔ)桶等。薄弱的第三方身份驗(yàn)證包含在 OWASP 問(wèn)題 API8:2023（安全配置錯(cuò)誤）和 API10:2023（不安全的 API 使用）中。

如何防止 API 管道中出現(xiàn)弱第三方身份驗(yàn)證^？

• 在開(kāi)發(fā)過(guò)程中，請(qǐng)保留應(yīng)用程序所使用的所有第三方 API 和服務(wù)的^清單。
• 驗(yàn)證第三方訪問(wèn)是否安全。
• 在 CI/CD 和暫存階段，使用工具評(píng)估^第三方API 調(diào)用的安全性。Panoptica CLI 具有此功能。
• 在準(zhǔn)備和生產(chǎn)階段，使用云安全掃描器檢測(cè)薄弱的第三方^身份驗(yàn)證。云安全掃描工具的示例包括AWS Config（付費(fèi)服務(wù)）、Azure Automation and Control（免費(fèi)和付費(fèi)層）、GCP Cloud Asset Inventory（免費(fèi)）和CloudQuery（開(kāi)源和付費(fèi)層）。

資源消耗

無(wú)限制的資源消耗是 OWASP 問(wèn)題 API4:2023。如果應(yīng)用程序在短時(shí)間內(nèi)被大量 API 調(diào)用淹沒(méi)，則可能會(huì)產(chǎn)生負(fù)面影響。例如，CPU、RAM 和存儲(chǔ)等應(yīng)用程序資源可能會(huì)被快速消耗或耗盡，從而導(dǎo)致運(yùn)營(yíng)成本增加、響應(yīng)時(shí)間變慢，甚至應(yīng)用程序故障和中斷。

如何防止 API 管道中不受限制的資源消耗？

• 在開(kāi)發(fā)過(guò)程中，為應(yīng)用程序的 API 處理添加速率限制，包括 API 請(qǐng)求的最大速率和合理的超時(shí)。
• 在準(zhǔn)備階段，使用超出允許的 API 請(qǐng)求速率的性能測(cè)試并驗(yàn)證應(yīng)用程序是否仍按預(yù)期運(yùn)行。
• 在準(zhǔn)備和生產(chǎn)中，在應(yīng)用程序前面使用API 網(wǎng)關(guān)來(lái)限制和限制 API 請(qǐng)求的速率。一些流行的 API 網(wǎng)關(guān)是AWS API 網(wǎng)關(guān)（免費(fèi)和付費(fèi)）、GCP API 網(wǎng)關(guān)（免費(fèi)和付費(fèi)）、Kong（開(kāi)源和付費(fèi)）、Tyk（開(kāi)源）和Azure API Management（免費(fèi)和付費(fèi)）。請(qǐng)注意，使用 API 網(wǎng)關(guān)時(shí)，應(yīng)用程序仍然需要自己的速率限制功能。

OWASP 問(wèn)題 API6:2023（不受限制的敏感業(yè)務(wù)流訪問(wèn)）與不受限制的資源消耗有關(guān)，但它意味著自動(dòng)化、壞機(jī)器人或人工智能參與了 API 濫用，從而加劇了資源消耗。

URL 欺騙

通過(guò) URL 欺騙攻擊，無(wú)效或惡意的 URL 會(huì)被傳遞到 API 請(qǐng)求中，服務(wù)器會(huì)在不驗(yàn)證 URL 的情況下代理該 URL。可疑 URL 可能是虛假網(wǎng)站或 Webhook。這可能會(huì)允許訪問(wèn)敏感數(shù)據(jù)和 PII。OWASP 問(wèn)題 API7:2023（服務(wù)器端請(qǐng)求偽造）涵蓋了此類漏洞。

如何防止 API 管道中的 URL 欺騙？防御此類攻擊可能很復(fù)雜。這是一個(gè)很好的入門資源。預(yù)防措施的概要如下：

• 在開(kāi)發(fā)過(guò)程中，對(duì)給定的URL執(zhí)行驗(yàn)證，包括IP地址和域名（參見(jiàn)上面的資源鏈接）。
• 如果可能，創(chuàng)建一個(gè)允許的 URL列表，并根據(jù)列表驗(yàn)證給定的 URL（參見(jiàn)上面的資源鏈接）。
• 在單元測(cè)試和 CI/CD 中，運(yùn)行模擬 API 流量，嘗試將無(wú)效的 URL 傳遞到 API 中。

數(shù)據(jù)注入

數(shù)據(jù)注入可讓威脅行為者通過(guò) API 將惡意數(shù)據(jù)、配置或程序傳遞到應(yīng)用程序中。這可能會(huì)允許訪問(wèn)數(shù)據(jù)（例如 BOLA）或使應(yīng)用程序不穩(wěn)定。

如何防止通過(guò) API 管道注入數(shù)據(jù)？

• 在開(kāi)發(fā)過(guò)程中，包括嚴(yán)格的類型檢查（即檢查請(qǐng)求中的數(shù)據(jù)是否正確，不允許意外的數(shù)據(jù)類型）和API 處理中的輸入驗(yàn)證。
• 設(shè)置請(qǐng)求中可輸入數(shù)據(jù)的大小和數(shù)量的上限。例如，設(shè)置字符串輸入的最大大小。
• 在開(kāi)發(fā)和 CI/CD 中，使用OAS spec linters來(lái)檢測(cè)數(shù)據(jù)輸入的問(wèn)題。
• 在單元測(cè)試和 CI/CD 中，運(yùn)行嘗試注入無(wú)效數(shù)據(jù)的模擬 API 流量。
• 在 CI/CD 和暫存階段，針對(duì) API 端點(diǎn)運(yùn)行模糊測(cè)試器，將無(wú)效或格式錯(cuò)誤的數(shù)據(jù)發(fā)送到 API。Panoptica CLI 包含模糊測(cè)試功能。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具，可以將 API 流量與 OAS 規(guī)范進(jìn)行比較并標(biāo)記數(shù)據(jù)差異（包括規(guī)范偏差）。Panoptica CNAPP 平臺(tái)具有此功能。

代碼注入

代碼注入是指將不良代碼添加到應(yīng)用程序中。隨著 IDE 插件和 AI 副駕駛越來(lái)越多地用于生成 API 客戶端和服務(wù)器代碼，存在將“壞”代碼注入應(yīng)用程序的風(fēng)險(xiǎn)。這可能會(huì)產(chǎn)生意想不到的甚至是惡意的副作用。例如，流氓（惡意）API 可能會(huì)注入您的應(yīng)用程序，從而創(chuàng)建后門訪問(wèn)。流氓 API 屬于 OWASP 問(wèn)題 API9:2023（庫(kù)存管理不當(dāng)）。

如何防止通過(guò) API 管道注入代碼？

• 在開(kāi)發(fā)過(guò)程中，通過(guò)徹底的代碼審查來(lái)驗(yàn)證任何生成的代碼非常重要。
• 在 CI/CD、準(zhǔn)備和生產(chǎn)中，鏡像掃描可以搜索應(yīng)用程序中的任何常見(jiàn)漏洞和暴露 (CVE)。Panoptica 可以掃描 Kubernetes 容器鏡像和虛擬機(jī)鏡像以查找問(wèn)題。
• 在準(zhǔn)備和生產(chǎn)階段，運(yùn)行動(dòng)態(tài) API 安全工具來(lái)掃描任何惡意 API。Panoptica 具有此功能。

結(jié)論

從 OWASP 十大 API 安全風(fēng)險(xiǎn)，到 API 管道，再到常見(jiàn)的 API 安全問(wèn)題及其預(yù)防方法，我們涵蓋了很多內(nèi)容，并提供了很多工具建議。

祝您和您的應(yīng)用程序擁有最好的 API 安全性！

文章來(lái)源：Securing APIs From Left to Right (and Everywhere in Between)