API NEWS | 2023年必备：API安全关乎大局

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

• 一篇关于2023年API安全为什么至关重要的文章
• 一篇关于API合约测试的文章
• 一篇关于Fencer安全测试工具的文章

2023年必备：API安全关乎大局

这篇文章由福布斯提供，对2023年API安全状态进行了全面概述。作者认为，在2023年API是攻击者的首要攻击向量，引用了Imperva的《量化API不安全的成本》的数据，该数据表明仅在美国，与API相关的年度网络损失达到120至230亿美元。

该文章探讨了API安全的各个方面，从消费者隐私到公共安全再到知识产权以及近期这些方面所受到的影响。

首先，在考虑消费者隐私时，可以回顾过去18个月的一些“API大规模泄露”案例。比如：持续发生的Twitter API泄露事件，据估计该事件泄露了多达2亿用户的个人信息。这样规模的泄露使得攻击者能够对Twitter用户发起大规模的针对性网络钓鱼攻击，以接管他们的账户。还有Optus泄露事件，导致多达210万名澳大利亚公民的个人身份信息被披露。另外，2023年初发生的T-Mobile API数据泄露事件，该事件泄露了超过3700万个账户持有人的详细信息。

其次更为严重的是，不安全的API对公共安全造成的影响。在关于API安全方面，汽车行业是一个存在不良记录的典型案例，其中最著名的例子是Sam Curry关于联网车辆的研究，特别是关注它们的API。2023年初，Curry的研究揭示了现代和捷恩斯汽车管理系统API的漏洞，该漏洞泄露了客户机密信息，包括车辆识别号码（VID）。更令人担忧的是，研究人员还能够访问汽车管理系统，从而控制车辆的锁定和发动机。就公共安全而言，这几乎是一个非常严重的情况。

第三，作者强调了API安全失效对知识产权的重要影响，引用了CircleCI漏洞的例子，该漏洞使攻击者能够窃取或生成新的项目和个人API令牌。这种攻击向量，允许攻击者控制使用CircleCI构建的任何软件系统，并窃取相关知识产权（源代码）或操纵构建和发布流程以注入恶意软件。类似的影响事件，比如Argo CD平台漏洞和GoCD CI/CD平台漏洞。

本文凸显了2023年三个主要的API安全关注点：API漏洞大规模泄露、个人安全和知识产权问题。正如作者总结的那样，解决这个问题的唯一途径就是从根本上投资于API安全。

小阑建议：

关于API漏洞大规模泄露、个人安全和知识产权问题，有几个重要的注意事项：

• 注重API安全：确保你的API实施了适当的安全措施，如身份验证和访问控制，以防止未经授权的访问和滥用。同时，确保API的代码和数据都经过严格的安全审查和测试。
• 数据隐私保护：确保在处理和传输用户数据时采取必要的隐私保护措施，如加密、脱敏和数据合规性。遵守相关的隐私法规，并尽量最小化对用户数据的收集和使用。
• 监测和响应漏洞：建立有效的漏洞监测和响应机制，及时发现和修复API中的安全漏洞。定期进行漏洞扫描和安全评估，确保API的安全性与最新威胁保持同步。
• 加强访问控制：采用适当的身份验证和授权机制，限制对API的访问权限，确保只有经过授权的用户或设备可以使用API。使用强密码和多因素身份验证来增强安全性。
• 信息共享安全：对于涉及敏感信息和知识产权的API，限制访问和共享的范围。确保只有授权的用户或合作伙伴可以获取和使用这些信息，并使用安全的通信渠道进行数据的传输和共享。
• 增强开发者教育：加强对开发者的安全教育和培训，提高他们对API安全的认识和意识。推广最佳实践，如安全编码、漏洞预防和安全测试，以创建更安全的API应用程序。
• 及时更新和维护：保持API平台和相关软件的及时更新和维护，包括修复已知漏洞和应用安全补丁。定期检查和更新API的依赖库和组件，以减少安全漏洞的风险。

API合约测试

文章由Kin Lane提供，讨论了API合约测试的细节。本文概述了基于Postman API开发工具的各种API测试策略。Lane的核心观点是，许多团队认为他们正在进行API合约测试，实际上，他们只是基于Postman集合进行API的基本测试（将其称为验收测试-它测试API是否按预期方式运行）。

要进行真正的合约测试，第一个要求是API的OpenAPI定义。在API设计优先策略的情况下，这将作为API设计过程的一部分已经存在。在代码优先策略的情况下，团队需要使用代理或拦截工具从观察到的网络流量中捕获OpenAPI定义（Postman本身具备此功能）。或者可以从API网关中提取此OpenAPI定义。

Lane倡导采用设计优先的方法，其中OpenAPI定义可用于从定义中生成Postman的API集合，并且还可从此定义中生成网关配置、策略以及API客户端和服务器代码。最后，通过在OpenAPI定义上添加各种注释（特别是在JSON模式上），可以完全定义请求和响应数据，包括最小和最大长度以及其他JSON数据属性。

下图展示了这一过程的示意：

作为设计优先方法的倡导者，作者建议从完全定义的API定义开始（包括对数据结构的全面定义），并使用它来生成所有下游工件，包括文档、模拟和存根、测试脚本以及客户端和服务器代码存根等。

小阑解读：

对于API合约测试，需要注意以下几点：

• 定义清晰的API合约：确保API合约（OpenAPI定义）明确定义了请求和响应的期望行为以及数据结构。合约应该包括请求方法、URL路径、参数、请求体和预期的响应状态码和响应体。
• 保持合约一致性：确保API合约与实际的API实现保持一致。任何更改或更新都应该反映在API合约中，并及时更新测试脚本和其他相关工件。
• 测试各种情况：执行全面的测试，覆盖不同的请求和响应情况。包括正常情况下的请求和响应，边界情况，错误处理等。
• 数据一致性测试：验证API返回的数据与API合约中定义的数据一致。检查数据字段的类型、格式和值。
• 集成测试：在进行API合约测试时，综合考虑API的依赖关系和集成情况。确保API在与其他服务交互时仍然符合合约定义。
• 自动化测试：尽可能自动化合约测试，使用适当的工具和框架编写测试脚本，并定期运行这些脚本以进行回归测试。
• 完整记录和报告：详细记录测试结果和问题，并生成清晰的报告。这有助于跟踪问题并及时解决。

Fencer自动化安全测试工具

本周，简要介绍一款名为fencer的新型API安全测试工具，由José Haro Peralta开发。该工具被描述为一种自动化API安全测试工具，旨在探索多大程度上可以自动化API安全测试过程。该项目最初的焦点是OWASP API安全十大漏洞，并计划在此基础上扩展到其他常见的API安全漏洞。

作者承认该项目目前处于初期阶段，需要进一步工作以添加完整的功能套件。根据现状，目前缺乏针对API安全的专用测试工具，因此这个领域的任何工作都是有价值的。

小阑建议：

对于API安全自动化测试工具，小阑认为，始终谨慎行事很重要：

• 覆盖全面：确保测试工具能够覆盖尽可能多的API安全威胁和漏洞。它应该支持常见的API安全标准，并能够识别并测试各种潜在的安全问题。
• 可配置性：提供配置选项，使用户可以根据其特定需求进行定制。这样用户就可以灵活地选择要执行的测试类型、策略和漏洞检查。
• 审计追踪：确保测试工具能够记录和跟踪测试过程中的所有活动和结果。这对于事后审计、错误排查和报告生成都非常有价值。
• 易于集成：使测试工具能够与现有的开发和部署工作流程集成。这包括与CI/CD工具、持续集成框架和其他相关的安全工具进行无缝集成，以便自动执行API安全测试。
• 持续更新和维护：API安全威胁和漏洞是不断变化的，因此测试工具需要得到持续的更新和维护，以确保它能够应对最新的安全挑战。
• 良好的文档和支持：提供清晰详细的文档和用户支持，以帮助用户了解如何使用测试工具、解释测试结果以及解决问题。
• 敏捷开发：根据用户反馈和需求进行持续改进和增强。与社区和用户进行积极互动，接受反馈，并及时修复和更新测试工具。

感谢 APIsecurity.io 提供相关内容