随着云计算、移动互联网的发展，越来越多的企业开始重新思考应用程序的扩展方式，企业应用系统开发不再通过虚拟机等基础设施，而是通过创建由多个互操作服务组成的API的微服务方法。

　　API（应用程序编程接口）是计算机程序相互交互的一种方式，可以简单理解为，它相当于城市交通控制系统的中间人，主要是为了确保不同区域之间的交通无缝衔接。

　　为什么API是攻击者眼中的“香饽饽”？总的来说，主要是因为API可以提供对后端系统和敏感数据集的随时访问。与传统的“黑客攻击”不同，API攻击并不取决于API有什么问题。相反，黑客可以合法地使用API，并且可以简单地发现它是否通过标准交互安全开发。

　　为什么API是攻击者眼中的“香饽饽”？总的来说，主要是因为API可以提供对后端系统和敏感数据集的随时访问。与传统的“黑客攻击”不同，API攻击并不取决于API有什么问题。相反，黑客可以合法地使用API，并且可以简单地发现它是否通过标准交互安全开发。

　　BOLA以前称为不安全的直接对象引用 (IDOR)，它允许攻击者通过重用访问令牌来执行未经授权的操作。这种方法已被广泛用于攻击物联网设备，它通过允许攻击者访问其他用户账户，更改设置，并造成严重破坏。

　　BOLA攻击依赖于API的资源ID或没有足够验证措施的对象。在某些情况下，API使用的数据是没有用户验证，公众可以访问，而在其他情况下，错误消息返回的信息太多，从而为攻击者提供了有关如何滥用API的更多信息。

　　防御 BOLA攻击需要验证API中所有功能的用户权限。API授权应在规范和随机/不可预测的ID中明确定义。同时，定期测试这些验证方法也很重要。

　　如果用户身份验证存在缺陷，攻击者就可以模拟真实用户。用户的登录、注册和密码重置等机制都可能会受到自动攻击的轰炸，如果系统安全性较差，还将出现允许弱密码，向用户返回错误消息、信息过多、缺乏令牌验证、加密较弱或不存在，诸如此类情况。

　　防止这些滥用需要在开发过程中优先考虑安全问题，开发团队需要识别上述所有身份验证机制，并应用多因素身份验证(MFA)，同时还应该考虑实施容量和账户锁定保护机制，以防止暴力攻击。

　　该问题集中在一些已发布的API上，由于它们依赖于客户端应用程序而不是后端系统进行过滤，所以会暴露过多数据。而攻击者正好可以利用这些数据来进行枚举攻击，并了解哪些有效，哪些无效，从而创建一本“食谱”，用于窃取数据或在后期策划大规模攻击。

　　解决数据暴露问题需要业务部门了解API，并根据用户需求定制API。其目的是提供所需的最小数据量，因此API需要在选择返回的属性中具有高度选择性。敏感或个人身份信息 (PII) 应在后端系统上进行分类，API不应依赖客户端过滤。

　　如果API没有对响应超时、内存、有效负载大小、进程数、记录和请求等参数应用足够的内部速率限制，则攻击者可以发送多个API请求，从而创建拒绝服务（DoS）攻击。这将淹没后端系统，导致应用程序崩溃或资源成本上升。

　　需要设置API资源消耗限制，这意味着为API调用和客户端通知（如重置和锁定）的数量设置阈值。服务器端根据记录数和资源消耗容差验证响应的大小。最后，使用字符串长度和数组元素数等指标，定义并强制API在所有传入参数和有效负载上支持的最大数据大小。

　　这实际上是对 BOLA 的另一种解读，即攻击者可以向不允许访问的函数发送请求。这实际上是特权升级，因为访问权限没有强制执行或隔离，使攻击者能够模拟管理员、帮助台或超级用户，并执行命令或访问敏感功能，从而为数据泄露铺平道路。

　　停止此级别跳跃活动需要记录身份验证工作流程，并强制执行基于角色的访问。这需要一个强大的访问控制机制，从“父级到子级”流动并且不允许反向。

　　攻击者发现可修改的参数和服务器端变量，然后通过创建具有提升权限的新用户或修改现有用户配置文件来利用这些参数和变量进行攻击。

　　可以通过限制或避免使用将输入绑定到对象或代码变量的函数来防止。API模式应包括输入数据有效载荷，并通过将客户端可更新属性列入白名单和将应受限制的属性列入黑名单来强制隔离。

　　不完整、临时或不安全的默认配置，错误配置的HTTP标头，不必要的HTTP方法，允许的跨域资源共享 (CORS) 以及包含敏感信息的详细错误消息在API中太常见了。它们通常是由于缺乏应用程序加固，较差的修补做法或不正确的加密而导致的人为错误，当被攻击者发现时，可能会被利用，从而导致欺诈和数据丢失。

　　配置要在API生命周期中采取正确的步骤，因此建议实施可重复的强化过程，配置审查和更新过程，并定期评估设置的有效性。定义和强制执行响应（包括针对错误响应）也可以阻止信息返回给攻击者。同时还应制定CORS策略来保护基于浏览器的部署。

　　注入攻击将代码不受信任地注入到API请求中，以执行命令或获得对数据的未经授权访问。当数据库或应用程序缺少对客户端或计算机数据的过滤或验证时，就会发生这些攻击，攻击者可以通过直接向数据库或应用程序发送查询和命令来窃取数据或注入恶意软件。

　　防御注入攻击需要分离数据，命令和查询。应识别数据类型和参数模式，并限制返回的记录数量。来自客户端和外部集成系统的所有数据都应该经过验证、测试和过滤。

　　安全性较差的 API（如影子API、弃用API或报废API）极易受到攻击。其他威胁媒介包括无意中向公众公开的预生产 API，或缺少导致暴露缺陷的API文档，如身份验证、错误、重定向、速率限制等。

　　在发布新API时，替换或更新风险分析来查看API发布过程，同时持续监控整个API环境，从开发、测试、生产、服务和数据流。使用OpenAPI规范可以帮助简化过程。

　　如果没有记录和监控API活动，攻击者可以完全逃避检测。日志记录和监控不足的例子包括错误配置的 API 日志记录级别、缺少详细信息的消息、无法保证日志完整性以及在现有日志记录和监控基础架构之外发布的API。

　　日志记录和监控需要捕获足够的细节来发现恶意活动，因此它应该报告失败的身份验证尝试、拒绝的访问和输入验证错误。开发团队应使用与标准安全工具兼容的日志格式，并且无论是在传输中还是在静止时，API日志数据都应被视为敏感数据。

　　以上的这十种攻击方法都揭示了保护API的难度，这些API不断地被启动、更新或替换，有时每天更新或替换。企业想要减轻面临的API安全威胁，需要正确的安全实施战略和程序。同时还应该制定一个包含审计标准、变更控制系统、管理流程、访问控制措施等在内的管理计划。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　我爸退休金只有4300，我妈退休金才3500，他们十年间竟然存了50万

　　王炸！美国已经开始对最新的战略轰炸机B-21 Raider进行飞行测试

　　阿森纳青训在道格拉斯·路易斯交易中面临两个问题，一月份转会优先事项浮出水面

　　学生不听话，该罚的也罚了，但好像没什么效果，是怎么回事，该怎么办？建议你对着这5点找原因！

　　苹果 Vision Pro 头显现国产山寨版：内置安卓8.1，售价原版1/10

　　尴尬了：RX 7800 XT Linux下跑游戏远不如RX 6800 XT