2.1 API安全現狀

API技術廣泛使用的同時，帶來的安全問題也愈加突出，從不斷出現的與API安全相關的安全事件中，來探討一下API安全的現狀。

2.1.1 什么是API安全

從API的發展過程可以了解到，API安全問題一直伴隨著API技術的發展在不斷變化。可以用一句話來概括API安全的定義：API安全是從安全的角度關注API領域的安全問題和這些問題的解決方案，從技術和管理兩個層面提高API自身和API周邊生態的安全性。

本書談論的API實際是以現代API為主，其關注的安全領域與傳統的Web安全比較接近，但又不同于Web安全，屬于IT領域中技術細分的交叉地帶。傳統Web安全更多的是關注Web應用程序的安全性，以服務器端應用程序安全為主，其漏洞表現形式主要為SQL注入、XSS、CSRF等。而API安全是在API技術被廣泛使用后，攻擊面不斷擴大的情況下帶來的安全管理問題和安全技術問題，它面臨的外部環境比傳統的Web安全更為復雜，通常內部包含API服務及其運行環境（與傳統Web安全相似），外部包含API客戶端應用程序、IoT設備、監管政策以及第三方合作廠商運作支持等，是API經濟背景下各個方面安全能力的總集。API安全包含的內容如圖2-1所示。

圖23-1從網絡安全、Web應用安全、安全開發、監管合規43個主要方面重點描述了API安全關注的核心內容。在網絡層面，API安全主要關注客戶端應用程序與API服務器端之間的通信安全；在Web應用層面，重點關注API客戶端應用與API服務器端之間的協議規范、常見的API漏洞類型以及如何通過API安全設計規避這些安全問題；在安全開發層面，從API生命周期的角度，結合SDL或DevSecOps模型來綜合管理API開發過程的安全性；在監管合規層面，需要結合法律法規和行業監管要求，考慮API數據隱私保護和合規性設計。

2.1.2 API安全問題主要成因

既然API安全問題由來已久，那么API安全的真實情況到底如何？不妨先來看一看2020年初的幾起數據泄露事件。

2020年33月底，多家網絡媒體爆料，某社交平臺數據疑似大規模泄露，涉及53億多用戶，隨后社交平臺的安全專員回復是在23018年底，有黑客通過手機通訊錄接口，偽造本地通訊錄來獲得手機號與平臺用戶的關聯，從而“薅走了一些數據”。針對此次API安全問題，平臺已及時加強了安全策略，并在不斷強化。除了某社交平臺之外，很多社交App都有通過通訊錄匹配好友的功能。2019年11月，Twitter就出現過利用通訊錄匹配功能獲得百萬推特用戶賬號和手機號的數據泄露事件，隨后Facebook關閉了這一功能。而到了2020年4月初，視頻會議服務廠商Zoom又被爆出發現多項安全漏洞，其中包含Facebook Graph API濫用導致隱私數據泄露問題。

除了這些安全事件外，近期的境外媒體報道的API安全事件還有如下幾件。

4月2日，GitLab API問題導致私有項目的名稱空間泄露。

4月93日，WordPress插件Rank Math爆出嚴重的API安全漏洞，借此漏洞可以直接修改users表信息。

4月16日，網媒報道findadoctor.com網站因API安全問題，導致美國140萬名醫生信息泄露。

從如此密集的安全事件都與API相關，大致可以判斷出API安全問題普遍存在，甚至還比較嚴重。那么，到底導致API安全問題發生的原因有哪些呢？

1.企業API安全意識不足

從攻擊視角來看，當越來越多的企業使用API對外部開放其業務能力，意圖共建生態時，這種新型的攻擊面是充滿誘惑和不可舍棄的蛋糕。面對眾多開放的API，惡意攻擊者往往通過并不復雜的惡意行為，即可給企業造成重大的危害。發生過安全事件的企業因為造成損失會增加對API的重視度，但未遭受影響的企業，仍缺乏對API的關注。在API測試環節，很多團隊要么不知道API漏洞，要么直接忽略了API安全測試；而在API服務發布后，API提供者、API贊助商以及第三方API使用廠商也在此領域缺少精力投入。這些情況導致API生態中各相關利益方（如API提供者、API贊助商、第三方API使用廠商等）責任不清、監督失效，API安全處于無人管理的狀態。

2.技術革新導致API安全風險增加

由于云計算的快速發展，越來越多的企業將應用和數據遷移至云端，并暴露核心業務能力和流程相關的API為外部合作伙伴提供服務。脫離了傳統的內網或網絡區域劃分，云上應用的開發和集成、云端管理API，被潛在的商業合作伙伴及攻擊者使用，無形中使得API安全風險增大。而大多數企業，沒有人能完全掌握系統全部API，開發人員往往也只是熟悉自己開發的相關模塊，且很多技術開發人員認為采納新的、酷的技術更重要，在技術路線上選擇新的特性，忽視API是否被攻擊。在這種缺少API安全性管理平臺又未建立全面系統的API安全管理體系的情況下，API安全風險更不可控。

3.API自身安全機制不足

企業將數據和能力通過API對外開放獲取商機和便利的同時，也為攻擊者攻擊提供了通道。為了達到目的，攻擊者通過多種手段滲透API，比如流量型的DDoS攻擊、CC攻擊；繞過身份鑒別或授權，非法獲取數據；逆向破解API客戶端應用后，非法調用API服務。而因API服務提供方、API開發團隊、第三方合作伙伴等多方面原因，API自身的安全機制存在缺陷，比如缺少身份鑒別或授權訪問控制、缺少對敏感數據的加密保護或異常檢測手段、缺少對API資產的生命周期管理，導致很多低版本的影子API。在這些情況下，攻防對抗中API自身安全能力不足將成為短板，無法應對攻擊者發起的惡意行為，反而易成為突破口。

2.1.3 API安全面臨的主要挑戰

API安全事件頻發，其外因是存在惡意攻擊行為。而作為使用API的企業，在API生態中把API當成基礎設施的一部分，卻缺少清晰的API保護方針和策略，無法提供高質量的API安全服務能力，也是導致API安全事件的原因。了解了這些原因，若想徹底解決API安全問題，仍需要面臨多方面的挑戰。

1.API廣泛使用帶來攻擊面擴大的挑戰

API技術的產生是為了解決不同組件或模塊之間的標準化通信交互問題，隨著互聯網上業務種類的不斷增加，出現了以API為中心的API經濟生態。在這個生態系統內，API能力提供者作為平臺能力支撐方和運營者，通過API的形式對外開放業務能力，吸引第三方廠商或合作伙伴加入此生態系統。開放的業務能力越多，API暴露的攻擊面就越大；參與生態構建的第三方廠商越大，API使用范圍越廣泛，API暴露的攻擊面也就越大。從企業運營者的角度來說，是期望更多的第三方廠商加入生態構建，從風險暴露的角度來說，越收斂則攻擊面越小。在這種業務期望快速發展，安全訴求越來越高的背景下，想解決API安全問題，必須綜合管理和技術手段，從網絡治理、服務治理、API治理、IT治理等角度去尋找業務發展和安全保障的最佳平衡點，尤其是對平臺型企業來說，如果內部IT治理水平較低，將面臨巨大的挑戰。

2.API安全實踐經驗缺失的挑戰

對于使用API技術的企業來說，使用某項技術是為了解決某些問題，以期望得到更高效的業務能力，但因技術人員對使用某項技術帶來安全風險往往理解不夠深刻。尤其是在當前互聯網業務競爭十分激烈，版本更新迭代非常頻繁的情況下，應付API功能的開發已經很疲憊，加上團隊內部或企業內部缺少安全經驗豐富的人員來對研發過程進行監督或指導，導致開發出來的API存在安全缺陷。而企業缺少API開發過程中的相關工具、平臺以及保障機制，更無法從組織層面指導API安全實踐的開展。

3.外部環境變化帶來的合規性挑戰

近幾年，隨著國家層面網絡空間治理的不斷深入，滿足合規性要求成為每一個企業正常業務開展的必要條件。在我國，國家標準和行業標準層面，對API使用提出了多方面的安全要求。比如在關于個人信息安全的國家推薦性標準GB/T 35273-2020《信息安全技術 個人信息安全規范》中，對于使用API收集個人敏感信息且未單獨向個人信息主體征得收集、使用個人信息的授權同意時有如下要求。

當個人信息控制者與第三方為共同個人信息控制者時（例如，服務平臺與平臺上的簽約商家），個人信息控制者應通過合同等形式與第三方共同確定應滿足的個人信息安全要求，以及在個人信息安全方面自身和第三方應分別承擔的責任和義務，并向個人信息主體明確告知。

在規范中，要求API服務提供者在涉及個人信息收集時，需要征得用戶同意并明確確認授權的情況下才可以進行信息采集。而作為被第三方集成的API服務提供方，如果涉及個人信息收集時，需要雙方約定分別承擔的責任和義務，并明確告知用戶。除了此規范外，金融行業標準JR/T 0185-2020《商業銀行應用程序接口安全管理規范》中，更是從API類型與安全設計、開發、部署、集成、運維等生命周期角度，對API的管理提出多方面的合規性要求。

這些標準或規范為企業的API安全實踐提供方向性指引，同時也為API的合規提供可落地標準。企業完成了此類合規的挑戰，才能更好地開展業務。