1、白 皮 书如何防范 API 漏洞探索 5 类 API 漏洞及其防范方式|2报告内容前言 3什么是 API 漏洞？3漏洞类型：已知漏洞 4如何防范 5Akamai API Security 如何为您提供帮助 6漏洞类型：影子 API、恶意 API、僵尸 API 和已弃用的 API 7如何防范 8Akamai API Security 如何为您提供帮助 8漏洞类型：外部暴露 9如何防范 10Akamai API Security 如何为您提供帮助 10漏洞类型：错误配置和操作员错误 11如何防范 12Akamai API Security 如何为您提供帮助 12漏洞类型：未发现的漏洞 13如何防范

2、 13Akamai API Security 如何为您提供帮助 145 种漏洞类型，5 项防范原则 |3前言API 可以帮助企业与合作伙伴、供应商及客户交换数据，从而连通企业的各个环节。但在大多数企业中，API 安全防护仍然不够全面。事实上，对于众多公司来说，近年来易受攻击的 API 已然成为众矢之的，使得攻击者不断滥用它们来获取敏感数据，然后将这些数据出售给其他攻击者或者公之于众。2024 年，消费者电信、企业计算和虚拟协作领域的全球众多品牌都遭遇了 API 攻击事件，大量客户数据及其他敏感数据遭到泄露，造成巨大经济和声誉损失。什么是 API 漏洞？简而言之，只要出现任何故意不当使用或滥用

3、API 的行为就表明存在 API 漏洞，而此类行为的目的通常是获取敏感数据。API 漏洞的类型可以根据不同的标准进行细分。为了识别风险并避免生产运营中出现漏洞，可以考虑以下将风险分为五种类别的方案：1.已知漏洞 攻击者会利用尚未修补的已知漏洞。2.影子 API、恶意 API、僵尸 API 和已弃用的 API 不受管理以及被遗忘的 API 会导致运营容易受到攻击。3.外部暴露 凭据、密钥和其他暴露可能超出了您的控制范围。4.错误配置和操作员错误 基础架构和服务中的安全系统配置不当可能会为攻击者创造利用漏洞的入口点。5.未发现的漏洞和错误 即便您已经竭尽全力来建立安全屏障，但攻击者仍会想方设法从生

4、产环境中找出任何可能的错误和漏洞。本电子书将说明这五类 API 漏洞中发生安全故障的位置以及如何进行防范。另外还将帮助您重点关注 API 安全计划中的特定薄弱环节，以最大限度地提高 API 安全性并降低风险。|4漏洞类型：已知漏洞利用尚未修补的已知漏洞发起的 API 攻击屡见不鲜。如果犯罪分子想要获取您的数据，那么对他们来说，第一步往往是检查您的企业是否留有任何后门。2024 年 1 月，某个攻击者通过利用缺少身份验证控制措施的 API 端点，成功入侵一款使用广泛的项目管理工具。在入侵此 API 后，该攻击者未经授权便访问了数百万用户的信息，并且几个月后在互联网上泄露了超过 21 GB 的数据

5、，包括电子邮件地址和董事会成员信息。身份验证和授权问题是最常见的 API 问题之一。OWASP 十大 API 安全风险提供了有关各企业必须防范的 10 个最严重 API 漏洞（包括失效身份验证）的信息。除了保护 API 免受 OWASP 十大风险中各类风险的侵扰之外，各企业还应该保护 API 代码，使其免受常见漏洞和风险(CVE)完整列表中相关漏洞的影响，该列表由 MITRE 运营的美国国家网络安全联邦资助研究与发展中心(FFRDC)编制。您可能还记得广为人知的 Apache Log4j 2 漏洞(CVE-2021-44228)，它也称为“Log4Shell”。Log4j 库是一个用于 Jav

6、a 编程语言的热门开源日志记录库，由于该库中存在的一个缺陷，攻击者能够远程执行任意代码来获取系统访问权限。他们会定期探查企业系统中是否存在与之类似的已知漏洞。|5在美国，网络安全和基础架构安全局(CISA)负责维护已知 CVE 的目录。其他国家或地区也可能维护着类似的目录。OWASP 十大 API 安全风险列表创建于 2019 年，并于 2023 年进行了更新。尽管它很有用，却跟不上攻击面的变化速度。仅在 2024 年，CISA 的目录中就新增了 24,000 多个新的 CVE，其中超过 500 个 CVE 与 API 相关（截至 2024 年 8 月中旬）。若想全面保护贵企业免受已知漏洞的影