API安全风险及其缓解方法 | Kong公司

常见的API安全风险

在现代数字环境中，API（应用程序编程接口）已成为应用程序和服务之间通信的核心工具。然而，API的广泛使用也带来了许多安全风险。以下将详细探讨常见的API安全威胁及其缓解方法。

对象级授权中断（BOLA）

对象级授权中断（BOLA）发生在攻击者通过发送特定请求，访问受授权控制保护的其他用户数据时。这种威胁通常源于不安全的编码实践，例如在验证用户身份或权限之前授予访问权限。

近年来，BOLA威胁因其严重性而备受关注。许多网站和应用程序都涉及数据对象的集合，例如医疗预约系统中的个人资料对象，可能包含用户的姓名、地址、诊断信息等敏感数据。如果授权控制不当，攻击者可能会自动化这些请求，导致大规模的数据泄露。

BOLA的缓解策略

1. 实施稳健的授权检查：确保每个API端点在授予资源访问权限前进行彻底的授权验证。
2. 使用间接对象引用：避免直接暴露数据库ID，改用映射到实际数据库对象的间接引用。
3. 遵循最小特权原则：限制用户和API客户端仅能访问其功能所需的最小资源。
4. 定期安全审计：通过频繁的安全审计和渗透测试，识别潜在的BOLA漏洞。

用户身份验证失败

用户身份验证失败是指由于身份验证漏洞，攻击者可以冒充合法用户。这种威胁通常与会话管理和凭据管理不当有关，可能导致攻击者窃取登录凭据或接管用户会话。

常见的攻击手段包括凭据填充、针对未验证API端点的攻击以及弱密码攻击。这类漏洞曾导致历史上一些最大的安全事件。

高级身份验证保护措施

1. 多因素身份验证（MFA）：对所有敏感操作和用户账户启用MFA。
2. 生物特征认证：为移动应用程序集成指纹或面部识别等生物特征认证。
3. 无密码验证：采用魔术链接或硬件令牌等无密码验证方式。
4. 持续身份验证：在整个会话中持续验证用户身份，而非仅限登录时。
5. API密钥轮换：定期更换API密钥和令牌，降低潜在违规风险。

资产管理不当

API资产的管理不当是指开发团队未能对其部署的API进行有效的技术监督，导致API长期无人维护或过时。这种情况可能因人员流动或组织重组而加剧。

未记录的API或无人维护的API可能成为攻击者的目标，尤其是当它们不安全或过时时。

有效的API资产管理策略

• 建立全面的API资产清单，确保所有API都被记录和监控。
• 定期审查和更新API，确保其安全性和功能性。
• 为每个API分配明确的所有权，避免因团队变动导致管理失控。

数据暴露过多

过度的数据暴露是指API在响应请求时返回了超出用户需求的数据。这种情况通常是开发团队为了提高效率而采取的快捷方式，但可能导致敏感数据被攻击者利用。

攻击者可以通过拦截API流量，发现并利用这些额外数据，从而引发数据泄露。

防止过度数据泄露的技术

• 确保API响应中仅包含必要的数据。
• 在开发阶段进行数据过滤，避免返回多余信息。
• 定期测试API响应，识别并移除不必要的数据字段。

缺乏资源和限速

API请求会消耗服务器资源，未设置速率限制的API可能因过度使用而崩溃。攻击者也可能利用这一漏洞，通过发送大量请求导致服务不可用。

资源管理和限速策略

• 实施API节流器，监控并控制API流量。
• 设置速率限制，防止单个用户过度消耗资源。
• 进行负载测试，确保限速配置能够满足实际需求。

功能级别授权失效

功能级别授权失效（BFLA）是指由于授权配置错误或技术应用不当，导致攻击者能够访问未经授权的功能或资源。这种威胁可能使攻击者获得管理员权限或访问敏感数据。

增强功能级授权的策略

• 为每个功能实现独立的授权机制。
• 定期审查授权配置，确保其符合安全要求。
• 使用基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）。

注射攻击

注射攻击是最古老但依然常见的安全威胁之一，攻击者通过向API输入恶意代码，改变程序的正常执行流程。常见的注射攻击包括SQL注入和跨站脚本（XSS）。

先进的注射预防技术

• 对所有用户输入进行严格验证和清理。
• 使用参数化查询，避免直接拼接SQL语句。
• 实施内容安全策略（CSP），防止跨站脚本攻击。

DDoS攻击

分布式拒绝服务（DDoS）攻击通过大量请求淹没服务器，导致服务不可用。这类攻击通常由僵尸网络执行，难以区分正常流量和恶意流量。

高级DDoS缓解策略

• 部署Web应用防火墙（WAF）以过滤恶意流量。
• 使用内容分发网络（CDN）分散流量。
• 实施速率限制和流量监控，及时发现异常行为。

用于API和微服务安全的技术

为了增强API和微服务的安全性，可以采用以下技术：

OAuth

OAuth 2.0是一种行业标准的授权协议，允许应用程序在不暴露用户凭据的情况下访问资源。它提供了安全分析、资源所有权管理等功能，是保护API授权的最佳选择。

数据加密

通过SSL/TLS协议加密API通信，保护数据在传输过程中的安全。同时，采用文件级或列级加密技术保护静态数据。

API令牌

API令牌是一种包含用户信息的唯一代码，用于验证用户访问权限。常见的令牌类型包括单点登录（SSO）令牌。

API节流和速率限制

API节流器和速率限制可以防止API因过度使用而崩溃，同时保护系统免受DDoS攻击。

服务网格

服务网格通过管理服务间的通信，简化安全协议的实施，增强API生态系统的安全性和可靠性。

API网关

API网关是用户请求的入口点，提供身份验证、流量控制和输入验证等功能，是保护API安全的重要工具。

零信任框架

零信任框架要求所有用户在访问应用程序和数据前都需经过严格验证，防止未经授权的访问。

威胁模型

威胁建模通过模拟攻击者行为，帮助开发团队识别潜在的安全风险，并制定相应的防护措施。

结论

API是现代应用程序和服务的核心，但其安全性至关重要。通过实施上述安全策略和技术，开发团队可以有效防范常见的API安全威胁，保护敏感数据和系统的完整性。

原文链接: https://konghq.com/blog/engineering/api-security-risks-and-how-to-mitigate-them