Cybersec Wednesday|API的不安全使用
应用程序编程接口(API)已经成为软件开发和数据交换不可或缺的一部分,而同时API的不安全使用亦成为了一个严重的网络安全问题。API的不安全使用可分为多个类别,例如反序列化问题、某些类型的非同步攻击等,共同之处在于后端服务在接受API上的使用者控制输入时过于宽松,有时甚至在没有应用任何适当的验证下盲目地使用它们。
API的不安全使用通常涉及整合问题,包括将第三方服务或功能嵌入到API实作或其支援的后端服务中。虽然这涉及到资料消耗问题,但更深层次的问题是整合的滥用,这在现代系统设计中非常普遍。这些整合通常是由第三方编写的,包含大量难以理解的程式码库,只需要一些点击或几行程式码即可集成到应用程序中。当网络服务包含大量未经验证的第三方程式码时,攻击者可以尝试利用此漏洞访问敏感信息,因此确保整合的安全性和可信度是确保API安全使用的关键。
当出现API的不安全使用,可能会导致敏感资料、使用者凭证或专有信息的外泄,造成严重的安全漏洞。攻击者可以利用API使用中的漏洞来获得未经授权的存取、执行任意程式码或在系统内执行未经授权的操作;被篡改的API请求可能会导致未经授权的资料修改或敏感资讯的外泄,还可能导致资料处理效率低下、API资源过度利用和性能下降。
由于开发人员通常更倾向于信任来自第三方API的数据,尤其是来自知名公司的API,因此可能会采用较弱的安全标准,特别是在输入验证和清理方面。这种信任或可能会导致API容易受到攻击的情况。
此外,透过未加密的通道与其他API互动也是一个潜在的风险,因为未加密的通讯可能会被窃取或窃听,导致数据泄露的风险。在处理从其他API收集的资料或将其传递给下游元件之前,没有正确验证和清理从其他API收集的资料也是一个危险的实践。如果不验证和清理资料,可能会引入各种攻击,包括SQL注入等。盲目跟随重定向是一个潜在的风险,因为它可能会导致用户被引导到恶意网站,从而受到钓鱼攻击或其他不当行为的影响。再者,不限制可用于处理第三方服务回应的资源数量可能会使系统容易受到过载攻击,或可能会影响系统的性能和可用性。最后,不为与第三方服务的互动实作逾时可能会导致长时间的等待,而影响用户体验。因此实施适当的互动逾时是保持系统反应灵敏性的重要部分。
为预防API的不安全使用,在评估服务提供者时,应该仔细评估他们的API安全状况,以确保他们有适当的安全措施,而互动亦要透过安全通讯通道(如TLS)进行,以防止数据在传输过程中被截取或窃听。在使用来自其他API的资料之前,先进行验证并正确清理资料,以防止各种攻击,包括SQL注入等。最后,在维护整合的API时,应确保将位置限制为已知且受信任的位置,不要盲目遵循重定向,以减少潜在的风险。以上的建议均有助于确保API的安全使用,并保护数据和系统免受潜在的风险和攻击。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为你解决,如果你怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
