第 3 部分：輸入和輸出

任何用戶輸入都可能被用來(lái)繞過(guò)您的 API 安全系統(tǒng)，因?yàn)樗ǔＳ糜谡{(diào)用其他代碼。

在本節(jié)中，我們介紹了必要的安全措施，使黑客更難操縱用戶輸入來(lái)實(shí)現(xiàn)他們的惡意目標(biāo)。

訪問(wèn)控制清單：

• 始終驗(yàn)證用戶輸入
• 強(qiáng)制執(zhí)行 HTTP 方法
• 進(jìn)行 API 模糊輸入測(cè)試
• 測(cè)試 SQL 注入
• 限制參數(shù)篡改

1. 始終驗(yàn)證用戶輸入

我們?cè)購(gòu)?qiáng)調(diào)一下——您應(yīng)該將任何用戶輸入視為黑客可能用來(lái)未經(jīng)授權(quán)訪問(wèn)您的 API 的功能和數(shù)據(jù)的工具。

這就是為什么驗(yàn)證所有用戶輸入至關(guān)重要，無(wú)論提交輸入的用戶擁有什么權(quán)限 – 無(wú)效的用戶數(shù)據(jù)應(yīng)該觸發(fā)錯(cuò)誤，并且不應(yīng)該由 API 處理，而有效的輸入應(yīng)該滿足開(kāi)發(fā)人員指定的所有標(biāo)準(zhǔn)。

掌握了這種方法，分析 API 使用者可以在哪里以及如何提交用戶輸入。分析完成后，繼續(xù)將他們可以使用的字段和數(shù)據(jù)類型限制到最低限度，而不會(huì)損害用戶體驗(yàn)或縮減 API 功能。

2. 強(qiáng)制執(zhí)行 HTTP 方法

強(qiáng)制執(zhí)行 HTTP 方法是指限制用戶可以用來(lái)執(zhí)行某項(xiàng)任務(wù)的 HTTP 方法范圍的做法。

例如，您的 API 使用者在請(qǐng)求檢查其帳戶余額時(shí)只能使用 GET 方法。在這種情況下，如果開(kāi)發(fā)人員不限制 HTTP 方法，則用戶可能使用 POST、PUT 或 PATCH 方法在未經(jīng)您許可的情況下修改其帳戶余額。

這個(gè)簡(jiǎn)單的例子說(shuō)明了仔細(xì)檢查用戶在執(zhí)行某項(xiàng)任務(wù)時(shí)可以使用哪些 HTTP 方法的重要性。

任何與允許的方法不匹配的操作都將導(dǎo)致405 方法不允許響應(yīng)。

3. 進(jìn)行 API 模糊輸入測(cè)試

模糊測(cè)試是一種向 API 提供大量通常格式錯(cuò)誤的數(shù)據(jù)以試圖暴露 API 中的漏洞的技術(shù)。

目標(biāo)是觸發(fā)和識(shí)別可能被黑客利用或?qū)е孪到y(tǒng)崩潰的意外 API 響應(yīng)。

這個(gè)簡(jiǎn)單但功能強(qiáng)大的 API 測(cè)試可確保您的 API 的穩(wěn)定性，并幫助您完善設(shè)計(jì)以獲得更好的性能。

以下是可用于進(jìn)行 API 模糊測(cè)試的工具列表：

• Fuzzapi
• Wapiti
• Wfuzz

4. 測(cè)試 SQL 注入

SQL 注入是黑客入侵系統(tǒng)的傳統(tǒng)方式之一，是指操縱數(shù)據(jù)庫(kù)查詢以實(shí)現(xiàn)惡意結(jié)果（竊取敏感數(shù)據(jù)或獲取編輯權(quán)限）的做法。

使用 SQL 注入測(cè)試，您可以確定是否可以將數(shù)據(jù)注入 API，以使其在數(shù)據(jù)庫(kù)中運(yùn)行用戶控制的 SQL 查詢并可能訪問(wèn)和操縱敏感數(shù)據(jù)。

您可以使用以下工具或以下工具的組合來(lái)測(cè)試 SQL 注入：

• SQL映射
• SQLninja
• SQL查詢引擎
• APIsec

5.限制參數(shù)篡改

參數(shù)篡改攻擊是指操縱 URL 參數(shù)或表單字段數(shù)據(jù)，以未經(jīng)授權(quán)訪問(wèn)特定用戶不應(yīng)看到的 API 數(shù)據(jù)和功能。

以下元素是參數(shù)篡改攻擊最常見(jiàn)的目標(biāo)。

• Cookies
• 表單字段
• URL 查詢字符串
• HTTP 標(biāo)頭

例如，當(dāng)應(yīng)用程序依賴隱藏字段來(lái)存儲(chǔ)狀態(tài)或技術(shù)數(shù)據(jù)時(shí)，黑客可以識(shí)別并修改這些字段以進(jìn)行入侵。

以下是可以實(shí)施的一些安全措施，以防止參數(shù)篡改攻擊：

• 使用正則表達(dá)式驗(yàn)證數(shù)據(jù)
• 從 URL 查詢字符串中刪除參數(shù)
• 為 API 設(shè)置格式白名單
• 加密會(huì)話 cookie

第 4 部分：API 安全測(cè)試

您的 API 的每個(gè)特性或功能都是黑客可以利用的潛在漏洞。

成功完成上面列出的三個(gè)階段后，您需要確保您的 API 能夠充分響應(yīng)標(biāo)準(zhǔn) API 測(cè)試。

雖然下面提到的大多數(shù)測(cè)試并非直接旨在提高 API 安全性，但它們中的每一個(gè)都可以指出隱藏的技術(shù)問(wèn)題和漏洞，網(wǎng)絡(luò)犯罪分子可以利用這些問(wèn)題和漏洞竊取您的敏感數(shù)據(jù)并損害您的用戶群。

API 安全檢查表：

• 進(jìn)行功能測(cè)試
• 進(jìn)行性能測(cè)試
• 執(zhí)行滲透測(cè)試
• 運(yùn)行漏洞掃描

我們?cè)贏PI 測(cè)試流程指南中介紹了整個(gè)流程，因此下面我們僅介紹關(guān)鍵思想。

1.功能測(cè)試

功能測(cè)試的目標(biāo)是檢查 API 的不同元素如何協(xié)同和獨(dú)立工作，以確保系統(tǒng)準(zhǔn)確運(yùn)轉(zhuǎn)。

一些功能測(cè)試包括：

• 煙霧測(cè)試分析最關(guān)鍵的功能以了解當(dāng)前構(gòu)建是否穩(wěn)定。
• 健全性測(cè)試驗(yàn)證了新特性和功能的穩(wěn)定性。
• 回歸測(cè)試確認(rèn)對(duì)源代碼的任何新更改（從推出安全補(bǔ)丁到實(shí)現(xiàn)新功能）都不會(huì)對(duì)現(xiàn)有功能產(chǎn)生負(fù)面影響或造成漏洞
• 集成測(cè)試分析不同的功能模塊如何協(xié)同工作。
• 可用性測(cè)試有助于發(fā)現(xiàn)任何影響用戶體驗(yàn) (UX) 的用戶面臨的技術(shù)問(wèn)題。

2.性能測(cè)試

性能測(cè)試分析當(dāng) API 流量大量激增導(dǎo)致系統(tǒng)超載時(shí)，API 在壓力下的工作情況。

• 負(fù)載和壓力測(cè)試可確保 API 能夠承受大量 API 流量而不會(huì)導(dǎo)致系統(tǒng)崩潰。
• 容量和容量測(cè)試試圖確定 API 的性能限制，分析系統(tǒng)在保持高性能水平的同時(shí)可以處理的請(qǐng)求數(shù)量。
• 可靠性測(cè)試確定事件發(fā)生后 API 需要多長(zhǎng)時(shí)間才能恢復(fù)，以及是否可以自主處理而無(wú)需 API 開(kāi)發(fā)人員的參與。

3.滲透測(cè)試和漏洞掃描

最后，遵循整個(gè)清單后，您需要使用兩種最常見(jiàn)的 API 安全測(cè)試方法來(lái)測(cè)試整個(gè) API：滲透測(cè)試和漏洞掃描。

滲透測(cè)試（也稱為道德黑客）模擬 API 攻擊以發(fā)現(xiàn)黑客可以利用的漏洞 – 而漏洞掃描使用行業(yè)標(biāo)準(zhǔn)指南（例如OWASP Top 10 API 安全列表）針對(duì)最流行的 API 安全漏洞分析您的 API。

最后警告：沒(méi)有檢查表足以保證你的 API 安全

盡管該清單詳盡地涵蓋了各種 API 漏洞，但它遠(yuǎn)不足以保護(hù)您免受黑客不斷發(fā)展的技術(shù)和方法的攻擊。

這主要因?yàn)槿魏?API 都是一個(gè)復(fù)雜的系統(tǒng)，其中幾乎每個(gè)元素都可能以某種方式被黑客濫用。

此外，無(wú)論您的清單實(shí)際上有多詳細(xì)，它都無(wú)法有效解決最危險(xiǎn)類型的 API 漏洞——業(yè)務(wù)邏輯缺陷。

當(dāng)您的用戶可以濫用 API 的合法功能來(lái)竊取您的數(shù)據(jù)或執(zhí)行他們不允許執(zhí)行的操作時(shí)，并不需要黑客來(lái)造成損害 – 每個(gè) API 消費(fèi)者都會(huì)成為真正的威脅。

那么，世界上一些最大的科技公司是如何解決這個(gè)問(wèn)題的呢？幸運(yùn)的是，我們知道答案。

手動(dòng)安全測(cè)試需要花費(fèi)大量的時(shí)間和資源 – 而且每年只能進(jìn)行幾次。

文章來(lái)源：API Security Checklist: What You Need To Know