20多年的開發(fā)部署后�����,API已經(jīng)到處都是��。2021年的調(diào)查研究中����,73%的企業(yè)表示自己已經(jīng)發(fā)布了超過50個(gè)API,且這一數(shù)字還在不斷增長(zhǎng)�����。
API在當(dāng)今幾乎每個(gè)行業(yè)里都起著舉足輕重的作用��,而且隨著它們逐漸邁向業(yè)務(wù)戰(zhàn)略前沿���,其重要性還在平穩(wěn)上升�。出現(xiàn)這種現(xiàn)象其實(shí)毫不意外:API無縫連接不同應(yīng)用和設(shè)備���,帶來前所未有的業(yè)務(wù)協(xié)同效應(yīng)和效率��。
但是��,與軟件任何其他組件一樣�����,API也免不了存在漏洞������;诖�����,如果沒有經(jīng)過間隔的安全測(cè)試�,API也有可能引入全新的攻擊途徑,將用戶暴露在前所未有的風(fēng)險(xiǎn)之下�。坐等生產(chǎn)部門發(fā)現(xiàn)API漏洞是不現(xiàn)實(shí)的,你只會(huì)等來嚴(yán)重延遲��。
API不僅受廣大企業(yè)青睞����,也是攻擊者眼中的香餑餑
API可不僅僅是簡(jiǎn)單連接企業(yè)各種應(yīng)用����,它們還會(huì)以無法預(yù)測(cè)的方式改變功能���。API可能引入的很多獨(dú)特缺陷都廣為黑客所知�,他們開發(fā)出不同方法攻擊API�����,從而訪問底層數(shù)據(jù)和功能�����。
開放Web應(yīng)用安全項(xiàng)目(OWASP)的API Top 10表明���,通過身份驗(yàn)證的合法用戶利用API漏洞的情況并不鮮見���,此類用戶利用看似合法的調(diào)用,實(shí)際上卻意圖篡改API��。這種攻擊旨在篡改業(yè)務(wù)邏輯并利用設(shè)計(jì)缺陷�,對(duì)攻擊者極具吸引力�。
每個(gè)API都是獨(dú)特且專有的����。因此,其軟件漏洞也是獨(dú)特且“未知”的��。防御者很難發(fā)現(xiàn)這類可導(dǎo)致業(yè)務(wù)邏輯或業(yè)務(wù)過程級(jí)攻擊的漏洞�。
是否給予了API安全測(cè)試足夠的重視?
左移安全已廣為多數(shù)企業(yè)接受,整個(gè)開發(fā)過程貫穿持續(xù)測(cè)試的做法已成常規(guī)�����。然而��,API安全測(cè)試常被漏掉�,或者執(zhí)行時(shí)缺乏對(duì)所涉風(fēng)險(xiǎn)的重復(fù)理解�。為什么會(huì)這樣?原因不止一個(gè):
現(xiàn)有應(yīng)用安全測(cè)試工具是通用型,目標(biāo)檢出對(duì)象是傳統(tǒng)Web應(yīng)用漏洞��,無法有效處理API的業(yè)務(wù)邏輯復(fù)雜性�����。
由于API沒有用戶界面���,企業(yè)通常需要單獨(dú)測(cè)試Web�、應(yīng)用和移動(dòng)端,但不測(cè)試API本身����。
API測(cè)試可能很是耗費(fèi)人工,在擁有幾百個(gè)API時(shí)是無法擴(kuò)展的����。
由于API測(cè)試比其他測(cè)試類型更復(fù)雜,企業(yè)可能缺乏相關(guān)經(jīng)驗(yàn)和專業(yè)技能�����。
無法確知已經(jīng)部署了哪些老舊API�����,或者找不到老舊API的文檔����。
因此,盡管左移安全已普遍受到大多數(shù)企業(yè)重視���,但API安全測(cè)試卻常被排除在DevSecOps藍(lán)圖之外�。
這是個(gè)令人遺憾的狀況,因?yàn)橄啾葌鹘y(tǒng)應(yīng)用漏洞����,API漏洞需要更長(zhǎng)的響應(yīng)時(shí)間:近期一項(xiàng)調(diào)查中,63%的受訪者報(bào)告稱需要更長(zhǎng)時(shí)間來修復(fù)API漏洞����。考慮到應(yīng)用對(duì)API的依賴和快速采用情況��,這一數(shù)字可能還會(huì)繼續(xù)上升��。
雖然大多數(shù)安全主管都意識(shí)到了API安全測(cè)試的重要性���,但仍有近一半的安全主管稱自己尚未將API安全測(cè)試解決方案完全集成進(jìn)開發(fā)流水線中��。
為什么常規(guī)安全測(cè)試方法無法覆蓋API?
要實(shí)現(xiàn)全面的安全方法����,第一步就是仔細(xì)考察當(dāng)前對(duì)于應(yīng)用安全測(cè)試的普遍態(tài)度:靜態(tài)安全測(cè)試和動(dòng)態(tài)安全測(cè)試�。
靜態(tài)安全測(cè)試采用白盒測(cè)試方法���,基于應(yīng)用的已知功能創(chuàng)建測(cè)試��,審查應(yīng)用的設(shè)計(jì)���、架構(gòu)或代碼����,包括數(shù)據(jù)在流經(jīng)應(yīng)用時(shí)可采取的諸多復(fù)雜路徑���。
動(dòng)態(tài)安全測(cè)試采用黑盒測(cè)試方法����,基于應(yīng)用攝入特定輸入集的的預(yù)期性能創(chuàng)建測(cè)試��,不考慮內(nèi)部處理或底層代碼知識(shí)�。
至于API,開發(fā)人員和安全團(tuán)隊(duì)常常爭(zhēng)論這兩種方法哪種最適用��,各自的支持理由包括:
雖然有點(diǎn)掃興��,但以上兩種觀點(diǎn)都不完全正確�。事實(shí)上,兩種方法都需要確保廣泛覆蓋和處理一系列可能的場(chǎng)景����。尤其是隨著近期API攻擊的興起,防御者不能在可擴(kuò)展性���、深度和頻率方面冒險(xiǎn)�。
這種情況下�����,“灰盒”API安全測(cè)試成為了一個(gè)有趣的替代方案����。因?yàn)闆]有用戶界面,知道應(yīng)用的內(nèi)部運(yùn)行機(jī)制(如參數(shù)���、返回類型等)有助于高效創(chuàng)建針對(duì)業(yè)務(wù)邏輯的功能性測(cè)試����。
理想狀態(tài)下��,綜合考慮API安全測(cè)試的各個(gè)方面可以更好地創(chuàng)建灰盒解決方案����,彌補(bǔ)單個(gè)方法的不足。此類業(yè)務(wù)邏輯方法可智能檢查其他測(cè)試類型的結(jié)果�,并自動(dòng)或手動(dòng)調(diào)整應(yīng)用改進(jìn)的測(cè)試。
業(yè)務(wù)邏輯API安全測(cè)試方法
業(yè)界越來越意識(shí)到API安全防護(hù)應(yīng)貫穿整個(gè)API生命周期�����,將API置于安全控制的前端和中心��。
為此����,我們必須找到簡(jiǎn)化和彌合企業(yè)API安全測(cè)試的方法,將API安全測(cè)試標(biāo)準(zhǔn)融入開發(fā)周期并加以實(shí)施�����。這樣一來���,在運(yùn)行時(shí)監(jiān)測(cè)的幫助下�,安全團(tuán)隊(duì)就能夠在一個(gè)地方獲得對(duì)所有已知漏洞的可見性。并且��,左移API安全測(cè)試還可以削減成本并加速修復(fù)�����。
此外��,如果能夠自動(dòng)化測(cè)試工作流��,企業(yè)就內(nèi)置了對(duì)重測(cè)試的支持:測(cè)試����、修復(fù)、重測(cè)�����、部署的循環(huán)�,保持流水線平穩(wěn)運(yùn)行,避免出現(xiàn)瓶頸����。
采用業(yè)務(wù)邏輯方法執(zhí)行API安全測(cè)試可以提高全生命周期API安全計(jì)劃的成熟度��,改善企業(yè)安全狀態(tài)�����。
然而,這種現(xiàn)代方法需要能自學(xué)習(xí)的工具���,通過攝入運(yùn)行時(shí)數(shù)據(jù)逐漸改進(jìn)性能�����,從而深入了解應(yīng)用的結(jié)構(gòu)和邏輯��。
這將涉及創(chuàng)建能夠隨運(yùn)行過程不斷學(xué)習(xí)的自適應(yīng)測(cè)試引擎����,積累關(guān)于API行為的深入認(rèn)知��,以便智能逆向工程其隱藏的內(nèi)部工作機(jī)制����。借助運(yùn)行時(shí)數(shù)據(jù)和業(yè)務(wù)邏輯信息,企業(yè)能夠享受黑盒和白盒兩種方法帶來的好處��,實(shí)現(xiàn)可見性增強(qiáng)和自動(dòng)化控制。
總結(jié)
除了逐漸普及����,API也給Web應(yīng)用帶來了更多漏洞。許多企業(yè)甚至不清楚自身API應(yīng)用范圍和漏洞情況���。黑客可以很容易地通過可用API探測(cè)已知和未知漏洞�。
然而����,企業(yè)常常忽視了API安全測(cè)試,像對(duì)待Web應(yīng)用一樣處理API安全測(cè)試���。大多數(shù)測(cè)試方法����,比如黑盒測(cè)試和白盒測(cè)試���,并不適合API測(cè)試��。
自然語言處理和人工智能(AI)的結(jié)合提供了可行“灰盒”選項(xiàng)�,能夠自動(dòng)化���、擴(kuò)展和簡(jiǎn)化API安全測(cè)試的復(fù)雜過程����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
