Akamai：API安全基本现状白皮书（25页）.pdf

1、白 皮 书API 安全 基本现状|2目录前言API 安全基本现状 3API 基础知识什么是 Web API？4最常见的 API 类型和 API 术语有哪些？4API 和端点有什么区别？7什么是南北向 API？7什么是东西向 API？7B2C API 和 B2B API 有什么区别？8私有 API 和公共 API 有什么区别？9API 安全的说明什么是 API 安全？10API 安全问题有多严重？12API 安全与应用程序安全有何不同？12保护 API 的最佳实践有哪些？13API 安全风险和滥用什么是 API 漏洞？14API 滥用方式有哪些？15什么是僵尸 API？15如何找到各种类型的影子

2、 API？16如何保护内部 API 和企业对企业 API？16API 网关是否内置安全功能？17最常见的 API 配置错误有哪些？17什么是 API 攻击？19什么是 API 的撞库？19什么是经由 API 的数据外泄？19API 安全解决方案和趋势API 安全的最新趋势是什么？20什么是基于签名的 API 安全？20什么是 API 检测和响应？21什么是高级 API 威胁防护？21什么是 API 安全平台？22什么是 API 公司？22什么是 API 中的威胁搜寻？23什么是 WAAP？23API 安全最佳实践什么是 API 文档示例？24有没有企业应遵循的 API 安全检查清单？24有没有

3、安全团队应该理解的 API 分类法？|3前言API 安全基本现状API 安全已经成为企业安全主管日益重视的一项要务。但不可否认的是，许多人对 API 安全知之甚少。应用程序编程接口(API)从一种实施细节迅速演变成战略性创新的推动力。为此，许多安全团队不得不仓促行动，努力完善 API 安全策略和实践。API 在支持业务运营的同时，也承载着具有重要价值的企业数据。即使再完美的 API 也可能遭到黑客滥用，所以，了解 API 安全领域的基本现状对于帮助企业抵御不断变化的威胁至关重要。随着使用 API 的客户互动和业务流程越来越多，企业安全团队也在重新调整安全策略，将 API 风险放在首位。无论是想

4、要巩固基础知识，还是不确定应该知道哪些问题，您都可以读一读这份指南，全面了解 API 安全威胁、趋势和最佳实践。本文深入探讨了以下几方面的内容：API 的不同类型 API 安全对当今企业意味着什么 降低 API 安全风险的最佳实践 常见的 API 攻击和滥用方法API 基础知识什么是 Web API？Web API 是一种编程接口，由已定义的请求响应消息系统的一个或多个端点组成，通常以 JSON 或 XML 表示，并通过网络（最常见的是基于 HTTP 的 Web 服务器）对外开放。换句话说，大多数人听到“API”时想到的就是 Web API。它是端点的集合。端点由资源路径、可对这些资源执行的操

5、作，以及资源数据的定义（JSON、XML、protobuf 或其他格式）组成。该术语可用于区分 Web API 与其他 API，例如操作系统或库中面向同一计算机上运行的应用程序开放的 API。但在谈到企业数字化转型和 API 安全时，我们都默认“API”就是指基于 HTTP(Web)的 API。最常见的 API 类型和 API 术语有哪些？熟悉以下术语对安全团队会有帮助，这些术语涉及 API 实施的不同使用模式和技术方法。Web API 的定义是基于 HTTP 的 API，目前常见的四种主要类型是 RESTful、SOAP、GraphQL 和 gRPC。下表是这四种常见类型及其他类型 API

6、的定义。|5API 使用模式说明公共 API通过互联网向所有开发人员免费提供和共享的 API。外部 API外部 API 是通过互联网开放的 API，通常可与公共 API 互换 使用。私有 API在受保护的数据中心或云环境中实施的 API，供受信任的开发人员使用。内部 API 通常可与私有 API 互换使用。第三方 API提供对第三方专门功能和/或数据的编程访问，以在应用程序中使用。合作伙伴 API一种第三方 API，有选择地提供给已授权的业务合作伙伴 使用。经过身份验证的 API只有已获得凭据的开发人员才能访问的 API（攻击者可能窃取凭据而对这类 API 进行未经授权的访问）。未经身份验证的