應用編程接口（API）已經(jīng)成為了促進(jìn)不同應用架構之間信息交流的橋梁。API可以實(shí)現新服務(wù)的更快集成和部署。此外，DevOps也需要利用API實(shí)現端到端的流程自動(dòng)化，進(jìn)而實(shí)現服務(wù)開(kāi)通、平臺管理和持續部署。

　　盡管可以實(shí)現快速廣泛的部署，但API卻仍未得到很好的保護，自動(dòng)化威脅也在增加。由于機器人程序攻擊，個(gè)人身份信息（PII）、支付卡明細和關(guān)鍵業(yè)務(wù)服務(wù)都處境堪憂(yōu)。

　　身份驗證漏洞和賬戶(hù)入侵。在請求來(lái)自真實(shí)用戶(hù)時(shí)，許多API就不會(huì )檢查身份驗證狀態(tài)。攻擊者可以以不同方式利用這些漏洞，如會(huì )話(huà)劫持和賬戶(hù)聚合等，來(lái)模擬真正的API調用。攻擊者還會(huì )對移動(dòng)應用進(jìn)行反向工程，來(lái)發(fā)現API是如何被調用的。如果API密鑰是嵌入在應用中的，那么就可能發(fā)生API漏洞。API密鑰不應該被用于用戶(hù)身份驗證。網(wǎng)絡(luò )犯罪分子還會(huì )對入侵的用戶(hù)賬戶(hù)執行證書(shū)填充攻擊。

　　缺乏強勁的加密。許多API在A(yíng)PI客戶(hù)端和服務(wù)器之間都缺乏強勁的加密。攻擊者可以通過(guò)中間人攻擊來(lái)利用這些漏洞。攻擊者會(huì )攔截未加密或未受保護的API交易，來(lái)竊取敏感信息或修改交易數據。此外，由于在促進(jìn)不同Web應用之間的互操作性上涉及到了多個(gè)網(wǎng)關(guān)，因此移動(dòng)設備、云系統和微服務(wù)模式的普遍應用又進(jìn)一步復雜化了API安全。對流經(jīng)所有通道的數據進(jìn)行加密至關(guān)重要。

　　業(yè)務(wù)邏輯漏洞。API極易遭受到業(yè)務(wù)邏輯濫用。這也是為何需要專(zhuān)門(mén)的機器人程序管理解決方案以及為何采用對Web應用和移動(dòng)應用都有益處的啟發(fā)式檢測會(huì )產(chǎn)生誤報和漏報等諸多錯誤。

　　端點(diǎn)安全性不佳。多數的IoT設備和微服務(wù)工具都被設定為通過(guò)API通道與服務(wù)器進(jìn)行信息交流。這些設備會(huì )使用客戶(hù)端證書(shū)在A(yíng)PI服務(wù)器上對自身身份進(jìn)行驗證。黑客會(huì )試圖從IoT端點(diǎn)獲取對API的控制權，如果他們成功了，他們就可以輕易對API序列進(jìn)行重新排序，進(jìn)而引發(fā)數據泄露。

　　為了保護API基礎架構不會(huì )遭受到黑客攻擊和濫用，企業(yè)必須實(shí)現這9個(gè)最佳實(shí)踐。

　　Radware是為傳統數據中心、云數據中心和虛擬數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構、應用及企業(yè)IT防護服務(wù)，確保企業(yè)的數字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰，保持業(yè)務(wù)連續性，在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情，請訪(fǎng)問(wèn)：www.radware.com.cn