API攻击是什么？如何做好防范

news2025/2/2 12:57:07

API 攻击是针对应用程序接口的一种攻击手段，近年来逐渐成为网络安全领域的热点话题。攻击者主要针对应用程序接口中的漏洞或者错误进行API攻击，从而达到窃取敏感数据、进行恶意操作、破坏系统正常运行等恶意目的。

什么是API攻击？

API 攻击是指利用应用程序接口(API)中的漏洞或者错误，通过恶意请求或其他手段获取未授权的数据或对系统进行恶意操作。API攻击范围很广，包括Web API、REST API、SOAP API等，具有隐蔽性高、威胁性大等特点，攻击者可以利用API漏洞绕过防火墙、入侵检测系统等安全防护设备，从而对系统进行深入攻击。

以下是一些常见的 API 滥用案例，以及如何预防的建议。

失效的对象级授权 (BOLA)

BOLA 指对对象访问请求的验证不充分，允许攻击者通过重用访问令牌来执行未经授权的操作。根据 OWASP 的 API 安全项目，BOLA 是当今最严重且最常见的 API 攻击，占所有 API 攻击的40%。

预防 BOLA 的建议：

实施依赖于用户策略的授权机制，验证登录用户是否有权执行请求的操作。
使用随机和不可预测的值作为记录 ID 的 GUID。
编写评估授权的测试。

分布式拒绝服务攻击 (DDoS)

DDoS 是一种常见的攻击类型，恶意攻击者通过故意使用来自多个设备和 IP 地址的大量机器人流量使 API 过载。对于企业而言，关键业务服务因此面临风险，例如登录服务、会话管理和其他为用户提供应用程序正常运行时间和可用性的服务。

执行 DDoS 活动的攻击者通常使用不对称技术，通过这种技术发送少量数据来生成 API 调用，这通常会导致服务器严重超载，因为他们必须使用大量数据来响应此类 API 调用。此类攻击会严重占用系统资源并大大增加系统所有用户的服务器响应时间。

企业可以采取以下措施来阻止 DDoS 攻击：

流量分析
速率限制（例如，每个客户端/资源的请求数、请求负载大小）。
自动缩放资源（确保为阈值报告打开警报）。
使用德迅云安全高防服务器，SCDN，等高防产品，一键部署防护

安全配置错误

应用程序中安全设置的不当配置可能会导致通过帐户接管(ATO) 的方式被利用和攻击。

防止这种情况的几种方法是：

盘点和管理所有 API，特别留意影子 API 和僵尸 API。
扩大数据治理范围，从应用程序扩展到所涉及的 API 的数据。

数据泄露

这种威胁通常被认为是通过开放的 API 意外泄露机密信息造成的。某旗下的移动支付服务。交易在设计上和默认情况下都是公开的。这种开放策略在 2019 年导致了严重的数据抓取问题，2 亿用户的私人信息被抓取。此外，还发现了美国总统拜登的账户。无论是有意还是无意的数据泄露，在被大量滥用时都可能引发国家安全问题。

缓解或消除数据泄露风险的两种方法是：