内容摘要：如今API作为连接服务和传输数据的重要通道，已成为数字时代的新型基础设施，但随之而来的安全问题也日益凸显。为了让各个行业更好地应对API安全威胁挑战，瑞数信息作为国内首批具备“云原生API安全能力”认

如今API作为连接服务和传输数据的瑞数重要通道，已成为数字时代的信息新型基础设施，但随之而来的势报安全问题也日益凸显。为了让各个行业更好地应对API安全威胁挑战，告重攻击更聪瑞数信息作为国内首批具备“云原生API安全能力”认证的磅发布专业厂商，近年来持续输出API安全相关观点 ，持续为政企用户做好API安全防护提供参考指南。走高

8月10日，武器瑞数信息正式发布《2023 API安全趋势报告》（以下简称“报告”），瑞数从API威胁态势
、信息攻击手段、势报API安全发展趋势等多个方面进行深度分析，告重攻击更聪剖析典型的源码下载磅发布API攻击案例，并结合API趋势提供了防护建议
。持续

报告指出，走高随着API调用数量的增多和自动化工具的兴起 ，API攻击持续走高，API资产管理不当、自动化攻击 、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战 。同时，在远程办公和企业应用向云端迁移的趋势下，API威胁越来复杂化。服务器租用随着人工智能 、机器学习等技术的发展，Bots自动化攻击手段越来越聪明，可以快速、准确地扫描API漏洞或对API发起攻击 ，对系统造成严重威胁。

一、API威胁态势分析

随着数字化技术的发展和Web API数量的爆发性增长
，API面临的安全攻击比例已经超过传统的Web漏洞攻击。API和小程序逐渐成为了很多企业和组织的流量入口 ，源码库引发的攻击越来越多 ，并且通过API接口攻击突破Web应用，作为跳板进入目标网络。

报告指出，越来越多的攻击者正利用API来实施自动化的“高效攻击” ，由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件 ，严重损害了相关企业和用户权益，逐渐受到各方的关注 。2022年检测到Web攻击中，针对API的亿华云攻击占比已经超过70%
。

依据相关数据统计发现 ，2022年比2021年API攻击增加约60%。虽然2022年受疫情影响 ，多数单位居家办公 ，但是黑灰产的攻击行为并没有因此而停止，反而增多。

二 、API安全防护难点

与传统的Web防护不同 ，API的安全防护要求更为全面 ，包括资产管理 、缺陷识别 、高防服务器攻击检测  、Bots检测、参数检测、行为识别
、访问控制等多个环节 ，任何环节的缺失或不足都会影响到整体的防护效果：

01多渠道多边界难以全面防护

访问入口的多样化
，带来了业务应用部署边界的多样化 ，如：Web 、APP、小程序、第三方平台等业务接入渠道，导致了脆弱点的香港云服务器暴露面扩大
，增加了风险管控复杂性 。因此 ，在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一
。

02接口分散和传输格式多样性导致接口难以发现

全面准确的API接口发现是API防护工作的基础，对API接口进行自动识别 、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同，API自身多以独立个体的方式分散存在，采用点对点的访问模式 ，难以通过接口之间的联系进行API发现。同时，传输数据格式的多样性(JSON 、XML 、GraphQL 等)也增加了API的识别难度。

03业务紧耦合防护策略难以通用

API和业务是紧耦合的，针对API的防护策略往往也和业务相关 ，这就造成API防护策略在跨业务的情况下难以通用，而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点，解决这一问题是API防护产品快速部署推广的一个难点。

04合法授权下的滥用风险难以识别

目前API在授权之后的访问控制相对薄弱
，海外安全机构Salt Security发布《State of API Security》中显示
，95%的API攻击发生在身份验证之后 。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险。如何在已经取得合法授权的请求中识别出异常访问，是API防护需要解决的一个难题 。

三 、API攻击特点分析

在攻防对抗中，攻击方通常掌握着主动性，因此掌握攻击者的入侵方法和手段，发现信息系统的潜在脆弱性，以此作为防范依据会大大提升防范效果  。面对越来越严峻的API安全威胁，报告从行业分布
、缺陷分析 、类型分析、API攻击手段等多个方面剖析了API攻击特点。

1行业分布

不同行业应用、业务形态的差异导致了API使用情况各不相同 ，API请求访问流量占比最高的为互联网 ，其次为金融和运营商。

2缺陷分析

在OWASP的参考中已经定义了多种API缺陷 ，但在用户生产环境中往往难以一一对应，为了更加直观的展示这些缺陷问题
，瑞数信息对其进行了重新组合。最为广泛出现的 API 缺陷为过度数据暴露，其次是参数可遍历、 越权访问 、参数可篡改
、明文密码传输 、接口误暴露等 。

3类型分析

不同的API功能类型，面临的攻击程度也不一样，尤其是适合Bots进行自动化攻击的接口，例如 ：公开数据查询 
、登录 、下单等类型的接口最容易遭受攻击。

4攻击手段

API作为应用与业务的结合体，面临着双重的攻击威胁，除了遭受着传统SQL注入、SSRF、恶意文件上传等攻击外，还面临着各种业务层面的攻击，例如：越权访问、信息遍历等 。

四、API安全发展趋势及防护建议

随着API数量井喷式增长
，API安全风险页进一步加剧。结合对API威胁态势和攻击特点等分析 ，报告预测了API安全发展四大趋势：Bots自动化攻击加剧API安全风险；API安全管理更加智能化；API安全成为云应用安全的重要组成；合规要求成为API安全的要素。

基于此，报告指出
，在应对新型的API风险时 ，主要防护建设思路可以归结为“一个基础，四个感知”
。

一个基础，即API资产管理是所有安全防护的基础，确保已上线的API全部都在管控范围之内 ，防止有漏网之鱼导致安全防线失效。

四个感知，包括
：环境感知，加强对API的调用环境进行环境感知 ，提升API调用者的环境安全检测能力 。风险感知，对API自身缺陷和外部攻击风险进行感知发现 。数据感知，对敏感数据进行识别，同时结合行业的分类分级标准，进行相应的安全策略管控，全面提升敏感信息监测能力
。业务感知 ，制定适合的API安全策略 ，提升业务感知能力。

五、结语

数字时代，API在为开发者带来诸多好处的同时，也极大的增加了应用系统新的风险  。据Gartner预测，“到2022年
，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年，API滥用和相关数据泄露将几乎翻倍” 。如何正确看待API安全风险并有效防护API安全，将成为所有企业的必修课 。