近日,全球最大的CDN服务提供商Akamai发布了一份关于应用程序编程接口(API)不断演变的威胁态势的研究报告,据信息技术研究机构Gartner称和分析公司,到2022年,API将成为最常见的在线攻击媒介。近年来,API作为移动互联网时代连接数据和应用的重要通道,承载着越来越复杂的应用逻辑和越来越多的敏感数据。正因如此,API也成为黑产攻击的重点目标,API攻击事件屡见不鲜,影响巨大。API安全问题不断涌现尽管系统生命周期(SDLC)和测试工具有所改进,但该报告强调了API漏洞令人沮丧的现状。通常,在急于将API安全推向市场的过程中,API安全被搁置一旁并被忽视,许多组织依赖传统的网络安全解决方案,这些解决方案无法保护API可能引入的广泛威胁。攻击。Akamai安全研究员兼《互联网安全状况报告》的作者SteveRagan表示:“从受损的身份验证和注入缺陷,到简单的错误配置,任何构建互联网连接应用程序的人都面临着无数的API安全问题。企业无法充分检测API攻击,甚至如果检测到此类攻击,可能会被低估。DDoS攻击和勒索软件都是企业的重要关注点,而API攻击没有受到同等程度的关注,这在很大程度上是因为“使用API发起攻击的犯罪分子不会产生那么多buzz与执行良好的勒索软件攻击一样,但这并不意味着应该忽略API攻击。”企业并不总是知道API漏洞所在。例如,API通常隐藏在移动应用程序中,导致人们认为它们无法被犯罪分子操纵。开发人员假设用户只会通过移动用户界面(UI)与API进行交互,但正如本报告所指出的那样,这不是案件。《ComparetheOWASPTop10Vulnerabilities和OWASPTop10APISecurityVulnerabilities》。后者声称体现了API的‘独特的漏洞和安全风险’,但仔细观察,你会发现它列出了一个完全相同的Web漏洞。略有不同的顺序和略有不同的文本描述。为了提高效率,API调用旨在使用户更容易和更快地自动调用-一把方便的双刃剑,对开发人员和攻击者都有利。《攻击流量激增指向持久性API漏洞》报告还详细说明,Akamai审查了2020年1月至2021年6月(18个月)期间的攻击流量,发现总共发生了超过110亿次攻击。有记录的62亿次攻击,SQL注入(SQLi)仍然位居Web攻击趋势榜首,其次是本地文件包含(LFI)(33亿)和跨站点脚本(XSS)(10.19亿)。虽然很难确定纯API攻击在攻击中所占的百分比上图,致力于提高软件安全性的非盈利基金会开放网络应用程序安全项目(OWASP)最近发布了一份API安全威胁排名前10的漏洞列表,这与Akamai的调查结果基本一致。
