如今API作為連接服務和傳輸數據的重要通道，已成為數字時代的新型基礎設施，但隨之而來的安全問題也日益凸顯。為了讓各個行業更好地應對API安全威脅挑戰，瑞數信息作為國內首批具備“云原生API安全能力”認證的專業廠商，近年來持續輸出API安全相關觀點，為政企用戶做好API安全防護提供參考指南。

8月10日，瑞數信息正式發布《2023 API安全趨勢報告》（以下簡稱“報告”），從API威脅態勢、攻擊手段、API安全發展趨勢等多個方面進行深度分析，剖析典型的API攻擊案例，并結合API趨勢提供了防護建議。

一、API威脅態勢分析

隨著數字化技術的發展和Web API數量的爆發性增長，API面臨的安全攻擊比例已經超過傳統的Web漏洞攻擊。API和小程序逐漸成為了很多企業和組織的流量入口，引發的攻擊越來越多，并且通過API接口攻擊突破Web應用，作為跳板進入目標網絡。

報告指出，越來越多的攻擊者正利用API來實施自動化的“高效攻擊”，由API漏洞利用的攻擊或安全管理漏洞所引發的數據安全事件，嚴重損害了相關企業和用戶權益，逐漸受到各方的關注。2022年檢測到Web攻擊中，針對API的攻擊占比已經超過70%。

依據相關數據統計發現，2022年比2021年API攻擊增加約60%。雖然2022年受疫情影響，多數單位居家辦公，但是黑灰產的攻擊行為并沒有因此而停止，反而增多。

二、API安全防護難點

與傳統的Web防護不同，API的安全防護要求更為全面，包括資產管理、缺陷識別、攻擊檢測、Bots檢測、參數檢測、行為識別、訪問控制等多個環節，任何環節的缺失或不足都會影響到整體的防護效果：

01 多渠道多邊界難以全面防護

訪問入口的多樣化，帶來了業務應用部署邊界的多樣化，如：Web、APP、小程序、第三方平臺等業務接入渠道，導致了脆弱點的暴露面擴大，增加了風險管控復雜性。因此，在同一防護體系內融合多業務接入渠道的防護是API防護的難點之一。

02 接口分散和傳輸格式多樣性導致接口難以發現

全面準確的API接口發現是API防護工作的基礎，對API接口進行自動識別、分類尤為重要。與傳統Web應用可以依賴自身結構上的統一入口不同，API自身多以獨立個體的方式分散存在，采用點對點的訪問模式，難以通過接口之間的聯系進行API發現。同時，傳輸數據格式的多樣性(JSON、XML、GraphQL 等)也增加了API的識別難度。

03 業務緊耦合防護策略難以通用

API和業務是緊耦合的，針對API的防護策略往往也和業務相關，這就造成API防護策略在跨業務的情況下難以通用，而微服務架構和DevOps模式下應用快速迭代變化的特性也放大了這一難點，解決這一問題是API防護產品快速部署推廣的一個難點。

04 合法授權下的濫用風險難以識別

目前API在授權之后的訪問控制相對薄弱，海外安全機構Salt Security發布《State of API Security》中顯示，95%的API攻擊發生在身份驗證之后。API防護需要重點關注這些合法授權下的攻擊、濫用及數據過度暴露等風險。如何在已經取得合法授權的請求中識別出異常訪問，是API防護需要解決的一個難題。

三、API攻擊特點分析

在攻防對抗中，攻擊方通常掌握著主動性，因此掌握攻擊者的入侵方法和手段，發現信息系統的潛在脆弱性，以此作為防范依據會大大提升防范效果。面對越來越嚴峻的API安全威脅，報告從行業分布、缺陷分析、類型分析、API攻擊手段等多個方面剖析了API攻擊特點。

1 行業分布

不同行業應用、業務形態的差異導致了API使用情況各不相同，API請求訪問流量占比最高的為互聯網，其次為金融和運營商。

2 缺陷分析

在OWASP的參考中已經定義了多種API缺陷，但在用戶生產環境中往往難以一一對應，為了更加直觀的展示這些缺陷問題，瑞數信息對其進行了重新組合。最為廣泛出現的 API 缺陷為過度數據暴露，其次是參數可遍歷、 越權訪問、參數可篡改、明文密碼傳輸、接口誤暴露等。

3 類型分析

不同的API功能類型，面臨的攻擊程度也不一樣，尤其是適合Bots進行自動化攻擊的接口，例如：公開數據查詢、登錄、下單等類型的接口最容易遭受攻擊。

4 攻擊手段

API作為應用與業務的結合體，面臨著雙重的攻擊威脅，除了遭受著傳統SQL注入、SSRF、惡意文件上傳等攻擊外，還面臨著各種業務層面的攻擊，例如：越權訪問、信息遍歷等。

四、API安全發展趨勢及防護建議

隨著API數量井噴式增長，API安全風險頁進一步加劇。結合對API威脅態勢和攻擊特點等分析，報告預測了API安全發展四大趨勢：Bots自動化攻擊加劇API安全風險；API安全管理更加智能化；API安全成為云應用安全的重要組成；合規要求成為API安全的要素。

基于此，報告指出，在應對新型的API風險時，主要防護建設思路可以歸結為“一個基礎，四個感知”。

一個基礎，即API資產管理是所有安全防護的基礎，確保已上線的API全部都在管控范圍之內，防止有漏網之魚導致安全防線失效。

四個感知，包括：環境感知，加強對API的調用環境進行環境感知，提升API調用者的環境安全檢測能力。風險感知，對API自身缺陷和外部攻擊風險進行感知發現。數據感知，對敏感數據進行識別，同時結合行業的分類分級標準，進行相應的安全策略管控，全面提升敏感信息監測能力。業務感知，制定適合的API安全策略，提升業務感知能力。

五、結語

數字時代，API在為開發者帶來諸多好處的同時，也極大的增加了應用系統新的風險。據Gartner預測，“到2022年，API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。到2024年，API濫用和相關數據泄露將幾乎翻倍”。如何正確看待API安全風險并有效防護API安全，將成為所有企業的必修課。