讓我們討論一下 API 管道的各個階段。

開發(fā)/編碼

API 誕生于開發(fā)中，理想情況下，首先要制定一個 OpenAPI 規(guī)范（OAS spec）來形式化 API，指定參數(shù)，確定可能的返回參數(shù)和代碼等。

許多開發(fā)人員使用集成開發(fā)環(huán)境 (IDE) 來組織環(huán)境，例如VSCode（開源）、PyCharm（社區(qū)和付費層）或GoLand（付費層）。

根據(jù) IDE，可能會有擴展程序幫助您編寫 OAS 規(guī)范。例如，VSCode 有多個 OAS 規(guī)范 linter 擴展，可以靜態(tài)標記規(guī)范問題，例如Spectral（開源）和Postman （免費和付費）。Spectral 擴展甚至有一個OWASP Top 10 API 安全風險規(guī)則集。Panoptica?（免費試用版和付費版）可以從命令行運行不同的OAS 規(guī)范 linter 。

AI 副駕駛現(xiàn)在非常流行，可用于開發(fā) API 客戶端/服務器代碼。流行的 AI 副駕駛包括GitHub Copilot（付費層）等。

請注意，并非所有 API 安全問題都可以靜態(tài)檢測。許多問題只能在動態(tài)環(huán)境中檢測到，其中 API 調(diào)用實際上正在被執(zhí)行。

API 代碼完成后，就可以進行單元測試了。

單元測試

開發(fā)完成后，API 代碼將接受單元測試，其中會進行“模擬”API 調(diào)用以驗證 API 是否正常運行。單元測試環(huán)境仍然是靜態(tài)的，因為盡管可以調(diào)用客戶端和服務器函數(shù)，但應用程序并未作為一個整體運行。

有許多工具可以自動生成模擬 API 代碼并運行模擬 API 服務器，包括WireMock（開源）、Mockoon（開源）、Microcks（開源）、Postman（免費和付費）、RestAssured（開源）和SoapUI（開源）。

一旦編寫并通過單元測試，API 代碼就可以用于 CI/CD。

持續(xù)集成/持續(xù)交付（CI/CD）

在 CI/CD 中，代碼提交進行代碼審查，構(gòu)建鏡像，并自動運行一些門控測試。門控測試包括靜態(tài)測試（例如單元測試和 OAS spec linters）和動態(tài)測試（例如端到端功能測試），其中實際安裝了代碼，并且可以以自動化方式測試基本功能。

如果 CI/CD 測試全部通過，則代碼可以合并到代碼存儲庫并在暫存區(qū)進行測試。

暫存環(huán)境

暫存環(huán)境與實際生產(chǎn)環(huán)境類似，但獨立用于內(nèi)部測試。在暫存環(huán)境中，應用程序已安裝，質(zhì)量保證團隊可以驗證其功能。

高可用性和性能測試也可以在階段運行。高可用性測試涉及驗證應用程序中是否存在單點故障。性能測試驗證您的應用程序是否能夠大規(guī)模執(zhí)行，其中包括大量 API 流量。

API 性能和負載測試的工具包括Locust（開源）、SoapUI 和 Postman。

另一種在準備階段很有用的工具是模糊測試器。模糊測試器將壞數(shù)據(jù)傳遞到應用程序中的 API 端點，并試圖對應用程序產(chǎn)生負面影響（例如使其停止響應、崩潰、泄露數(shù)據(jù)等）。模糊測試工具的示例包括RESTler（開源）和 Panoptica。

Greenfield Deployment

應用程序首次部署到生產(chǎn)環(huán)境時，稱為“Greenfield Deployment”。在綠地部署中，由于沒有現(xiàn)有工件，因此不存在任何版本控制或升級問題。

在生產(chǎn)環(huán)境中，您可以動態(tài)掃描實時 API 流量以查找安全風險，從而保護您的應用程序。Panoptica?CNAPP 平臺擁有一整套 API 安全功能，我們將在下面討論。

Brownfield Deployment

Brownfield Deployment是指在現(xiàn)有生產(chǎn)環(huán)境中升級應用程序。

對于Brownfield ，API 向后兼容性和版本控制等因素開始發(fā)揮作用。例如，在應用程序升級為新版本后，API 客戶端可以繼續(xù)使用以前的 OAS 規(guī)范版本。必須支持多個 API 版本。

金絲雀部署是一種Brownfield ，其中應用程序的不同版本同時運行，以降低新版本的風險。金絲雀部署僅管理總 API 流量的子集。在這里，API 向后兼容性和版本控制也是重要的考慮因素。

預防管道中常見的 API 安全問題

現(xiàn)在我們已經(jīng)討論了 OWASP 十大 API 安全風險和完整的 API 管道，讓我們來看看一些常見的 API 安全問題以及如何在整個管道中預防它們。

BOLA

根據(jù) OWASP 的數(shù)據(jù)，BOLA 是 2023 年最普遍的 API 安全問題。它們包含在問題 API1:2023（損壞的對象級別授權(quán)）和 API3:2023（損壞的對象屬性級別授權(quán)）中。

如前所述，在 BOLA 攻擊中，最終用戶能夠訪問他們無權(quán)訪問的數(shù)據(jù)，通常是因為元數(shù)據(jù)在應用程序的 API 響應中泄露。

由于數(shù)據(jù)（尤其是 PII）是泄露的主要目標，任何未經(jīng)授權(quán)的訪問都會是一個巨大的安全問題。

如何防止 BOLA 穿過 API 管道？

• 在開發(fā)過程中，請確保您的應用程序中具有強大的授權(quán)模型，不允許未經(jīng)授權(quán)訪問數(shù)據(jù)，并確保 API 響應中沒有數(shù)據(jù)泄露。
• 在開發(fā)和 CI/CD 中，使用OAS 規(guī)范 linters（前面討論過）來標記潛在的授權(quán)問題。
• 在單元測試和 CI/CD 期間，運行嘗試在未經(jīng)授權(quán)的情況下訪問數(shù)據(jù)的模擬 API 流量。
• 在 CI/CD 和暫存階段，針對您的 API 端點運行模糊測試器，它會將錯誤輸入發(fā)送到 API 并標記任何意外的數(shù)據(jù)訪問。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具來檢查 API 流量并標記潛在的 BOLA 問題。Panoptica 具有 BOLA 檢測功能。

BFLAs

當最終用戶調(diào)用應用程序或應用程序微服務之間未經(jīng)適當授權(quán)訪問應用程序功能時，就會發(fā)生 BFLA。BOLA（上文）是關于訪問數(shù)據(jù)的，BFLA 是關于訪問功能的。未經(jīng)授權(quán)訪問功能最終會導致數(shù)據(jù)泄露。BFLA 是 OWASP 問題 API5:2023（功能級別授權(quán)損壞）。

如何防止 BFLA 跨 API 管道？

• 在開發(fā)過程中，確保您擁有強大的授權(quán)模型，以便從最終用戶和微服務之間訪問應用程序功能。
• 在單元測試和 CI/CD 中，運行嘗試在未經(jīng)授權(quán)的情況下訪問應用程序功能的模擬 API 流量。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具來檢查 API 流量并標記潛在的 BFLA 問題。Panoptica 能夠?qū)W習 BFLA 授權(quán)模型，然后檢測實時流量中的任何潛在違規(guī)行為。

弱身份驗證

應用程序的弱身份驗證更容易被攻擊者攻陷。它可以讓威脅者訪問用戶帳戶和數(shù)據(jù)。弱（或失效）身份驗證包含在 OWASP 問題 API2:2023（失效身份驗證）和 API8:2023（安全配置錯誤）中。

其中一種形式是基本身份驗證，它需要用戶名和密碼，但密碼本身很“弱”。這包括短密碼、太常見的密碼（例如可以在字典搜索中找到）或跨帳戶重復使用的密碼。

弱身份驗證也可能是由于端點安全性弱造成的，例如使用 HTTP 而不是 HTTPs。

最后，加密問題也屬于這一類。沒有加密或加密薄弱的端點可能會為您的應用程序打開攻擊面。如果沒有任何加密，所有 API 流量都是“明文的”，這意味著它可以被竊聽和輕松讀取。弱加密可能涉及較短的加密密鑰，很容易被破解。

如何防止 API 管道中出現(xiàn)弱身份驗證？

• 開發(fā)啟用強加密的安全端點（例如 HTTPs）。
• 對于基本身份驗證，需要強密碼和多因素身份驗證(MFA)。
• 在開發(fā)和 CI/CD 中，使用OAS 規(guī)范 linters（特別是 OWASP Top 10 規(guī)則集）來標記不安全的端點問題。
• 在單元測試和 CI/CD 中，運行使用弱身份驗證并嘗試獲取訪問權(quán)限的模擬 API 流量。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具來標記實時 API 流量中的弱身份驗證。Panoptica 可以檢測多種形式的弱身份驗證。

影子 API

OWASP 問題 API9:2023（庫存管理不當）包括影子 API。影子 API 未記錄在 OAS 規(guī)范中。它們是一種您甚至可能不知道的安全風險。

隨著應用程序的發(fā)展，影子 API 的安全性不太可能隨之發(fā)展。它們甚至可能會被完全遺忘，從而暴露出應用程序中持續(xù)存在的安全漏洞或后門。

如何防止影子 API 跨 API 管道？

• 在開發(fā)過程中，請確保對所有 API進行盤點，并在 OAS 規(guī)范中記錄每個 API。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具，這些工具可以檢測實時流量中的影子 API，并為其重建OAS 規(guī)范，以便正確記錄它們。Panoptica 具有這些功能。

僵尸 API

OWASP 問題 API9:2023（庫存管理不當）也包括僵尸 API。僵尸 API 是 OAS 規(guī)范中已棄用但仍在應用程序中活動的 API。它們出現(xiàn)在棕地和金絲雀生產(chǎn)環(huán)境中，這些環(huán)境中可能正在使用多個 API 版本。
與影子 API 一樣，僵尸 API 不太可能隨您的應用程序一起發(fā)展，并且從安全角度來看可能受到較少的審查，從而為您的應用程序留下后門。

如何防止僵尸 API 穿過 API 管道？

• 盡快刪除對僵尸（已棄用）API 的支持。
• 在準備和生產(chǎn)過程中，運行可以檢測實時流量中的僵尸 API 的動態(tài) API 安全工具，例如 Panoptica。

弱第三方身份驗證

即使您的應用程序數(shù)據(jù)訪問確實安全，薄弱的第三方^身份驗證仍可能使您的數(shù)據(jù)面臨威脅。第三方^對您的數(shù)據(jù)的訪問包括數(shù)據(jù)庫、S3 存儲桶等。薄弱的第三方身份驗證包含在 OWASP 問題 API8:2023（安全配置錯誤）和 API10:2023（不安全的 API 使用）中。

如何防止 API 管道中出現(xiàn)弱第三方身份驗證^？

• 在開發(fā)過程中，請保留應用程序所使用的所有第三方 API 和服務的^清單。
• 驗證第三方訪問是否安全。
• 在 CI/CD 和暫存階段，使用工具評估^第三方API 調(diào)用的安全性。Panoptica CLI 具有此功能。
• 在準備和生產(chǎn)階段，使用云安全掃描器檢測薄弱的第三方^身份驗證。云安全掃描工具的示例包括AWS Config（付費服務）、Azure Automation and Control（免費和付費層）、GCP Cloud Asset Inventory（免費）和CloudQuery（開源和付費層）。

資源消耗

無限制的資源消耗是 OWASP 問題 API4:2023。如果應用程序在短時間內(nèi)被大量 API 調(diào)用淹沒，則可能會產(chǎn)生負面影響。例如，CPU、RAM 和存儲等應用程序資源可能會被快速消耗或耗盡，從而導致運營成本增加、響應時間變慢，甚至應用程序故障和中斷。

如何防止 API 管道中不受限制的資源消耗？

• 在開發(fā)過程中，為應用程序的 API 處理添加速率限制，包括 API 請求的最大速率和合理的超時。
• 在準備階段，使用超出允許的 API 請求速率的性能測試并驗證應用程序是否仍按預期運行。
• 在準備和生產(chǎn)中，在應用程序前面使用API 網(wǎng)關來限制和限制 API 請求的速率。一些流行的 API 網(wǎng)關是AWS API 網(wǎng)關（免費和付費）、GCP API 網(wǎng)關（免費和付費）、Kong（開源和付費）、Tyk（開源）和Azure API Management（免費和付費）。請注意，使用 API 網(wǎng)關時，應用程序仍然需要自己的速率限制功能。

OWASP 問題 API6:2023（不受限制的敏感業(yè)務流訪問）與不受限制的資源消耗有關，但它意味著自動化、壞機器人或人工智能參與了 API 濫用，從而加劇了資源消耗。

URL 欺騙

通過 URL 欺騙攻擊，無效或惡意的 URL 會被傳遞到 API 請求中，服務器會在不驗證 URL 的情況下代理該 URL。可疑 URL 可能是虛假網(wǎng)站或 Webhook。這可能會允許訪問敏感數(shù)據(jù)和 PII。OWASP 問題 API7:2023（服務器端請求偽造）涵蓋了此類漏洞。

如何防止 API 管道中的 URL 欺騙？防御此類攻擊可能很復雜。這是一個很好的入門資源。預防措施的概要如下：

• 在開發(fā)過程中，對給定的URL執(zhí)行驗證，包括IP地址和域名（參見上面的資源鏈接）。
• 如果可能，創(chuàng)建一個允許的 URL列表，并根據(jù)列表驗證給定的 URL（參見上面的資源鏈接）。
• 在單元測試和 CI/CD 中，運行模擬 API 流量，嘗試將無效的 URL 傳遞到 API 中。

數(shù)據(jù)注入

數(shù)據(jù)注入可讓威脅行為者通過 API 將惡意數(shù)據(jù)、配置或程序傳遞到應用程序中。這可能會允許訪問數(shù)據(jù)（例如 BOLA）或使應用程序不穩(wěn)定。

如何防止通過 API 管道注入數(shù)據(jù)？

• 在開發(fā)過程中，包括嚴格的類型檢查（即檢查請求中的數(shù)據(jù)是否正確，不允許意外的數(shù)據(jù)類型）和API 處理中的輸入驗證。
• 設置請求中可輸入數(shù)據(jù)的大小和數(shù)量的上限。例如，設置字符串輸入的最大大小。
• 在開發(fā)和 CI/CD 中，使用OAS spec linters來檢測數(shù)據(jù)輸入的問題。
• 在單元測試和 CI/CD 中，運行嘗試注入無效數(shù)據(jù)的模擬 API 流量。
• 在 CI/CD 和暫存階段，針對 API 端點運行模糊測試器，將無效或格式錯誤的數(shù)據(jù)發(fā)送到 API。Panoptica CLI 包含模糊測試功能。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具，可以將 API 流量與 OAS 規(guī)范進行比較并標記數(shù)據(jù)差異（包括規(guī)范偏差）。Panoptica CNAPP 平臺具有此功能。

代碼注入

代碼注入是指將不良代碼添加到應用程序中。隨著 IDE 插件和 AI 副駕駛越來越多地用于生成 API 客戶端和服務器代碼，存在將“壞”代碼注入應用程序的風險。這可能會產(chǎn)生意想不到的甚至是惡意的副作用。例如，流氓（惡意）API 可能會注入您的應用程序，從而創(chuàng)建后門訪問。流氓 API 屬于 OWASP 問題 API9:2023（庫存管理不當）。

如何防止通過 API 管道注入代碼？

• 在開發(fā)過程中，通過徹底的代碼審查來驗證任何生成的代碼非常重要。
• 在 CI/CD、準備和生產(chǎn)中，鏡像掃描可以搜索應用程序中的任何常見漏洞和暴露 (CVE)。Panoptica 可以掃描 Kubernetes 容器鏡像和虛擬機鏡像以查找問題。
• 在準備和生產(chǎn)階段，運行動態(tài) API 安全工具來掃描任何惡意 API。Panoptica 具有此功能。

結(jié)論

從 OWASP 十大 API 安全風險，到 API 管道，再到常見的 API 安全問題及其預防方法，我們涵蓋了很多內(nèi)容，并提供了很多工具建議。

祝您和您的應用程序擁有最好的 API 安全性！

文章來源：Securing APIs From Left to Right (and Everywhere in Between)

#你可能也喜歡這些API文章!

制定藍圖：什么樣的API策略能夠確保未來的成功？

詳解API：應用程序編程接口終極指南

精通API規(guī)范：構(gòu)建明確指導和預期的指南

API 優(yōu)先方法如何徹底改變軟件開發(fā)

掌握良好的 API 設計原則：是什么、為什么和怎么辦

API-first產(chǎn)品經(jīng)理的熱門 API 工具和 API 指標

ChatGPT生態(tài)系統(tǒng)的安全漏洞導致第三方網(wǎng)站賬戶和敏感數(shù)據(jù)泄露

想要系統(tǒng)了解Agentic Workflow，看這25篇論文就夠了

生成式 AI 在電商領域究竟有多牛，這款產(chǎn)品給出了回答