F5 Labs 研究人员宣称，API 已成黑客容易盯上的靶子。

一系列因素导致应用程序编程接口 (API) 成为网络罪犯眼中易于得手的目标。

网络安全公司 F5 Labs 日前发布《2019 应用程序保护报告》，探索可用于入侵 API 的各种攻击技术。

研究人员介绍，导致 API 成黑客攻击靶子的最大因素，是过于宽泛的权限。在博客帖子中，研究人员 Ray Pompon 和 Sander Vinberg 写道：因为不是给用户使用的，API 通常设置为能访问应用程序环境中的任何数据。

权限用于生成用户请求并传入 API，但问题在于，黑客也能很方便地利用这些权限。

由于 API 拥有不受限制的访问权限，通过 API 实施的攻击可赋予攻击者看清一切的可见性。什么都好，直到攻击绕过用户身份验证过程，直达下游应用。由于 API 拥有不受限制的访问权限，通过 API 实施的攻击可赋予攻击者看清一切的可见性。

F5 Labs 将 API 描述为网络罪犯惯用手法易于突破的目标，指出 API 所用 URI(统一资源标识符)、方法、头和其他参数可被攻击者滥用。

研究人员称：事实上，大多数典型 Web 攻击，比如注入、凭证暴力破解、参数篡改和会话欺骗，效果惊人。

另一个关键问题，则是可见性。研究人员宣称，业内缺乏对 API 及其安全风险的态势感知。

研究人员称：API 本就应该在后台工作，这没什么不好；但如果连被黑也发生在后台，我们全部宝贵资料都在看不见的情况下被盗，就不好了。

业内缺乏对API及其安全风险的态势感知。

正如我们在去年报告的后续跟进中指出的，API 连接的端口往往不止 80/443。它们通常深藏在 Web 服务器某处多层目录下，其架构细节也往往只有开发团队才清楚。

现实就是，安全团队可能看不到自身环境中可能存在有此类潜在影响的连接。

为缓解此类威胁，F5 建议公司企业做到以下几点：

　　1. 列出 API 清单，了解其架构和故障模式的影响；

　　2. 要求 API 身份验证；限制 API 权限；

　　3. 加密 API 连接；

　　4. 使用 API 专用工具，比如代理或防火墙；

　　5. 运用边界扫描、漏洞评估和渗透测试等手段测试 API。

上月曝光的 Capital One 黑客案中，检方宣称涉案黑客 Paige Thompson 可能入侵了其他 30 多个公司。该报告的发布正值检方透露该消息之时。但并无证据显示 Thompson 有意售卖或分发其盗取的数据。

　　《2019应用程序保护报告》：

https://www.f5.com/labs/articles/threat-intelligence/application-protection-report-2019-episode-5-api-breaches-and-the-visibility-problem

(责任编辑：安博涛)