API安全概述应用程序编程接口(API )由一组可用于构建APP应用程序软件和进行企业集成的定义和协议组成。 随着数字转型的发展,API产品的价值越来越高,尤其是与微服务、DevOps等技术的融合,使API成为加速企业战略发展的利器,但随之而来的安全问题也不容忽视。 常见的API安全漏洞有以下五个。
首先,API和APP应用系统一样,在设计之初就应该考虑安全因素。 例如,防篡改(签名)或防重放(时间戳)或防止机密信息泄露(传输加密和数据最小化)等。 API规范化带来的问题之一是容易发现API,如在URL中出现的v1/login、在参数中出现的“function': 'login”等。 安全配置错误经常包括未使用加密传输协议的CSRF、CORS等。 过多的参数容易导致信息泄露和攻击者执行频率分析攻击。 例如,“role': 'user”容易让攻击者联想到“role': 'admin”等。 数据过多:传输过多的数据、返回过多的数据、参数值暴露敏感信息等是数据过多带来的安全问题。
此外,OWASP还列举了2019年API最受关注的10个安全问题:
从上述两幅图中,可以大致看出API往往面临的风险是什么。 那么,如何解决这些安全问题呢? API安全测试方法要全面解决API的安全问题,每次开发完API都要进行全面的安全测试。 为了避免测试中的泄漏,检查列表v1.0 (此列表主要用于https://github.com/shield fy/API-security-check list
API安全测试工具经常不需要重复劳动力,所以利用好的工具可以取得更大的成果。
astra https://github.com/flipkart-incubator/astra
Astra的安装非常简单。 直接使用Docker进行部署就可以了。 (官方网站上已经有详细说明,值得注意的是编译Astra时的网络是个大问题,需要靠自己的力量支撑墙壁。 )
Burp Suite Burp的强大之处不言而喻,但对API的测试,我更喜欢BurpSuite和Postman的结合。
fuzz API https://github.com/fuzz API/fuzz API
不说明安装步骤。
Postman与Burp组合使用,后期有空专门写BurpSuite Postman。
其实写这篇文章主要是为了整理API的安全漏洞和检查点。 上图只是1.0版。 而且,这张表的很多列也暂时没有共享。 后期2.0将被更新。
referenceapisecuritychecklist:https://github.com/shield fy/API-security-check list API五个常见漏洞: https://min.news/zh-cn 24 cceb 1c0d 9169 a7DC 68e 58 E0 e 669864.htmlapi接口渗透测试: https://xz.a liyun.com/t/2412 APP应用接口(API )安全