漏洞 2：身份驗證失效

存在漏洞的端點

@app.route("/verifyOTP", methods=["POST"])
def verifyOTP():
    received_code = request.data.code
    correct_code = get_generated_code()
    if received_code == correct_code:
        log_user_in()
        msg = "登錄成功"
        return msg, 200
    else:
        msg = "驗證碼錯誤"
        return msg, 403

問題分析：未限制用戶嘗試登錄的次數，攻擊者可以通過暴力破解自動化工具嘗試不同的密碼或驗證碼，直到成功為止。

如何修復此漏洞

@app.route("/verifyOTP", methods=["POST"])
def verifyOTP():
    # 驗證 - 檢查用戶嘗試 verifyOTP 的次數
    if has_available_attempts():
        received_code = request.data.code
        correct_code = get_generated_code()
        if received_code == correct_code:
            log_user_in()
            msg = "登錄成功"
            return msg, 200
        else:
            msg = "驗證碼錯誤。您只有5次嘗試"
            has_available_attempts(-1)
            return msg, 403
    else:
        msg = "錯誤請求過多。請一小時后重試"
        return msg, 429

修復建議：

• 限制用戶登錄嘗試次數（如 3-5 次錯誤后鎖定賬戶）。
• 使用現有的身份驗證庫，避免重復造輪子。
• 實施多因素認證（MFA）。
• 增加速率限制和賬戶鎖定機制，防止暴力破解攻擊。

漏洞 3：數據過度暴露

API 通常依賴前端執行數據過濾，但這種方式容易被繞過。攻擊者可以通過瀏覽器開發者工具直接查看完整的 API 響應。

如何修復此漏洞

修復建議：

• 永遠不要依賴客戶端執行敏感數據過濾，后端應只返回必要的數據。
• 審查 API 響應，確保僅包含必要信息。
• 定義并保護所有敏感信息（如 PII）。

漏洞 4：資源不足和速率限制缺失

存在漏洞的端點

@app.route("/image", methods=["POST"])
def upload_image():
    image = request.data.image
    if save(image) == True:
        msg = "圖片上傳成功"
        return msg, 200
    else:
        msg = "發生錯誤。請稍后再試"
        return msg, 500

問題分析：攻擊者可以通過自動化工具持續上傳大圖片，耗盡服務器資源。

如何修復此漏洞

@app.route("/image", methods=["POST"])
def upload_image():
    image = request.data.image
    if can_upload():
        if too_big(image.size):
            msg = "圖片大小過大。請選擇其他文件"
            return msg, 400
        if save(image) == True:
            msg = "圖片上傳成功"
            return msg, 200
        else:
            msg = "發生錯誤。請稍后再試"
            return msg, 500
    else:
        msg = "您已上傳過多圖片。請刪除一張以繼續。"
        return msg, 400

修復建議：

• 實施速率限制，限制用戶在一定時間內的操作次數。
• 驗證上傳資源的大小，防止服務器因處理大數據而卡住。
• 定義并強制執行所有傳入參數的最大數據大小。

漏洞 5：功能級授權失效

存在漏洞的端點

@app.route("/user/", methods=["DELETE"])
def delete_user(userid):
    if exists(userid):
        # 執行不安全操作
        delete(userid)
        msg = "用戶刪除成功"
        return msg, 200
    else:
        msg = "用戶不存在"
        return msg, 404

問題分析：未驗證用戶權限，任何人都可以通過調用此端點刪除用戶。

如何修復此漏洞

@app.route("/user/", methods=["DELETE"])
def delete_user(userid):
    if exists(userid):
        logged_user = get_user_information()
        # 驗證 - 只有管理員可以刪除用戶
        if is_admin(logged_user):
            delete(userid)
            msg = "用戶刪除成功"
            return msg, 200
        else:
            msg = "您無權執行此操作"
            return msg, 403
    else:
        msg = "用戶不存在"
        return msg, 404

修復建議：

• 后端應通過驗證用戶權限來阻止敏感操作，而非依賴前端隱藏按鈕。
• 默認拒絕所有訪問權限，僅為特定角色明確授予權限。

總結

通過本文，您已經了解了 OWASP API 安全十大風險中的部分關鍵問題及其修復方法。現在是時候評估您的 API 安全性并修補潛在漏洞了。安全開發不僅是技術能力的體現，更是對用戶和數據負責的表現。

敬請期待我們的第二部分內容，更多安全實踐即將揭曉！

原文鏈接: https://blog.vidocsecurity.com/blog/api-security-best-practices-for-developers/

#你可能也喜歡這些API文章!

如何獲取免費的ChatGPT API密鑰 – Apidog

確保性能與安全的9種API測試類型

API客戶端終極指南：優勢、最佳實踐… – Testfully

最佳后端開發者API工具：終極指南 – Apidog

如何使用 OpenAI 的 Sora API：綜合使用指南

API 設計原理：從理論到實踐

什么是 API Key 密鑰以及如何使用它們？

實測：阿里云百煉上線「全周期 MCP 服務」，AI 工具一站式托管

NFC支付是什么？如何改變我們的支付方式