最近,世界上最大的CDN服务商Akamai发布了一个针对应用程序接口的项目(API)根据信息技术的研究和分析,对威胁形势的研究不断进化Gartner称,到2022年,API它将成为最常见的在线攻击媒介。
近年来,API作为移动互联网时代连接数据和应用的重要渠道,它承载着越来越复杂的应用逻辑和越来越敏感的数据。API也成为黑产的重点攻击目标,API遭受攻击的事件屡见不鲜并影响巨大。
API安全问题继续出现
尽管在系统生命周期中(SDLC)该报告强调了测试工具的改进API漏洞令人沮丧的现状。通常,渴望API 安全推向市场的过程中,API 安全降级为事后考虑,不受重视。许多组织依赖传统的网络安全解决方案,这些解决方案不能保护 API 可能引入的广泛攻击。
Akamai安全研究员兼《互联网安全报告》作者Steve Ragan指出:“从被破坏的身份验证和注入缺陷到简单的错误配置,任何构建网络应用程序的人都将面临无数的问题API安全问题。企业无法充分检测。API即使检测到这种攻击,攻击也可能被遗漏。DDoS攻击和勒索软件是企业关注的重要问题,API攻击没有得到同样程度的关注,这主要是因为罪犯使用它API发起的攻击不能像执行到位的勒索软件攻击那样引起轰动,但这并不意味着应该忽视API攻击。”
企业并不总能知道API漏洞在哪里?API通常隐藏在移动应用程序中,使人们认为它们不能被罪犯操纵。开发人员假设用户只能通过移动用户界面(UI)与API互动,但正如本报告所指出的,情况并非如此。
Veracode首席研究官Chris Eng表示:“将OWASP十大漏洞与OWASP十大API比较安全漏洞。后者声称反映了API的‘独特的漏洞和安全风险’,但如果你仔细看,你会看到列出完全相同Web漏洞,顺序稍有不同,并采用了略微不同的文字描述。为了提高效率,API经过专门的设计,用户可以更容易、更快地自动执行调用——这是一把双刃剑,对开发者和攻击者都有好处。”
攻击流激增指向持续存在API漏洞
报告还详细提到,Akamai审查了2020年1月至2021年6月间(18个月)的攻击流量,发现总攻击次数超过110亿次。凭借记录到的62亿次攻击,SQL注入(SQLi)仍然在Web在攻击趋势列表中排名第一,其次是当地文件(LFI)(33亿次)(XSS)(10.19亿次)。
虽然在上述攻击中很难确定纯度API非营利性基金会致力于提高软件安全性——开放Web应用程序安全项目(OWASP)最近发布了10份API安全漏洞清单基本与Akamai调查结果一致。