API的出現(xiàn)和廣泛使用給快速開發(fā)提供前所未有的便利條件，但是這種便利的背后也伴隨著不容忽視的風(fēng)險，今天498科技就給大家來介紹一下API安全風(fēng)險：

       想了解無風(fēng)險，靠譜api接口的朋友，歡迎撥打咨詢熱線：400 0591 498 或者點擊留言，498科技免費為大家提供咨詢和解答。

　　風(fēng)險一：API接口鑒權(quán)失效

　　調(diào)用API其實本質(zhì)上就是對后端服務(wù)的調(diào)用，但后端服務(wù)并不對所有人開放，除少數(shù)API(如提供公開素材下載的網(wǎng)站)外，絕大部分API需要對用戶進(jìn)行鑒權(quán)后，再決定是否允許用戶調(diào)用該服務(wù)。鑒權(quán)簡而言之就是驗證用戶是否有權(quán)訪問資源、能訪問哪些資源，其通常分成兩個環(huán)節(jié)：先身份驗證，后權(quán)限控制，兩者不可分割。但是，不少API接口由于存在開發(fā)、配置缺陷等問題，導(dǎo)致鑒權(quán)機(jī)制失效。

      常見的鑒權(quán)失效有：用戶身份鑒權(quán)失效、對象級別的鑒權(quán)失效和功能級別的鑒權(quán)失效。用戶身份鑒權(quán)失效通常指用戶無需認(rèn)證令牌，或通過一定方式可以繞過認(rèn)證環(huán)節(jié)，使得非法用戶入侵后臺系統(tǒng)，進(jìn)而可能導(dǎo)致存儲在該系統(tǒng)內(nèi)的個人信息泄漏。對象級別的鑒權(quán)失效即為水平越權(quán)，指的是用戶只需更改API路徑(End Point)即可實現(xiàn)對請求中的對象ID所屬的敏感數(shù)據(jù)進(jìn)行未授權(quán)訪問的情況，例如，通過修改薪資系統(tǒng)API接口參數(shù)中的員工號，即可了解其他員工的薪資待遇水平。

      功能級別的鑒權(quán)失效即為垂直越權(quán)，指的是通過更改API接口中關(guān)于層級、群組或角色的參數(shù)，即可實現(xiàn)對不同層級、群組或角色可訪問的敏感信息的未授權(quán)訪問，例如，惡意人員可將普通用戶名篡改為管理員用戶名，即可訪問所有原本僅系統(tǒng)管理員才能查看的敏感信息。

　　風(fēng)險二：敏感信息展示不當(dāng)

　　敏感信息脫敏展示機(jī)制通常用于保護(hù)用戶敏感信息不被其他未授權(quán)人員訪問，以避免用戶權(quán)益受損。敏感信息脫敏展示機(jī)制失效通常有三種情況：未脫敏、偽脫敏、脫敏策略不一致。未脫敏指的是敏感信息沒有經(jīng)過脫敏展示即通過API接口從前端界面進(jìn)行展示，例如直接在客戶端應(yīng)用的界面展示個人姓名、手機(jī)號碼和身份證等信息。

        偽脫敏指的是敏感信息僅在前端展示界面脫敏，未在服務(wù)器后端進(jìn)行脫敏，一旦流量被截獲，則可能造成敏感信息泄漏。脫敏策略不一致指的是對同一類敏感信息，未采取一致的脫敏策略，導(dǎo)致將同一條信息不同的未脫敏部分進(jìn)行組合后仍可得到未脫敏的數(shù)據(jù)，例如A界面展示王五的手機(jī)號為123***789，而B界面展示王五的手機(jī)號為123456***，則進(jìn)行組合后可以得到王五的完整手機(jī)號123456789。

　　風(fēng)險三：過量數(shù)據(jù)暴露風(fēng)險

　　該風(fēng)險指的是API接口在接收到參數(shù)請求時，后臺服務(wù)器未做篩選，便將大量數(shù)據(jù)返回至前端，僅依賴客戶端對數(shù)據(jù)數(shù)量及類型進(jìn)行選擇性展示，但此時數(shù)據(jù)，尤其是敏感數(shù)據(jù)，可能已經(jīng)全部在前端界面進(jìn)行緩存，訪問者查看前端即可獲取大量數(shù)據(jù)。

       例如，王五在前端界面提交了訪問A部門所有員工電話號碼的請求，但是后端服務(wù)器卻除了返回了A部門所有員工的電話號碼，還返回了身份證號碼、家庭住址等個人敏感信息，造成個人信息的過度收集和敏感信息的暴露。同理，在通過數(shù)據(jù)接口間接收集個人信息時，如果配置不當(dāng)，將可能導(dǎo)致大量無關(guān)個人信息被過度收集。

　　風(fēng)險四：第三方通過API違規(guī)留存數(shù)據(jù)

　　當(dāng)下社會分工逐漸細(xì)化，企業(yè)開放很多不同的API接口給第三方合作伙伴已成常態(tài)，從而支持?jǐn)?shù)據(jù)處理、資源共享等操作。但是，若雙方未約定，或第三方未按照約定，則可能存在第三方通過頻繁訪問合作接口，私自過量緩存、獲取數(shù)據(jù)資源的行為，當(dāng)留存的數(shù)據(jù)資源達(dá)到一定程度，則效果上等同于“拖庫”。

       前段時間曝光的某征信企業(yè)非法倒賣個人信息案件中，其便是利用上游企業(yè)接口非法緩存公民個人信息，累計緩存公民姓名、身份證號碼和身份證照片一億多條，供下游企業(yè)牟利，造成嚴(yán)重公民個人信息泄漏。

　　思考與建議

　　如上述風(fēng)險分析過程可見，對于用戶的個人信息保護(hù)，API安全極其關(guān)鍵，App運營者應(yīng)當(dāng)引起高度重視。一旦在API安全問題上采取措施不力，造成大量個人信息泄露，可能涉嫌違反《網(wǎng)絡(luò)安全法》第四十二條“網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。”

       App運營者不僅應(yīng)關(guān)注API安全，還需梳理API接口清單、API接口設(shè)計脆弱性，加強(qiáng)API全生命周期(上線、變更和下線)管理，監(jiān)測API使用過程的數(shù)據(jù)安全風(fēng)險，真正付諸于實際行動，讓個人信息“采之以理、用之以道、存之以安”。具體有以下建議供參考：

　　一是加強(qiáng)API技術(shù)安全防護(hù)能力

　　雖然API存在安全風(fēng)險，若采取恰當(dāng)?shù)募夹g(shù)防護(hù)手段，則可以有效的把風(fēng)險控制在可接受范圍內(nèi)。組織應(yīng)將API安全納入安全防護(hù)體系中，在應(yīng)用系統(tǒng)各個環(huán)節(jié)與其他技術(shù)手段協(xié)同以達(dá)到加強(qiáng)API安全的目標(biāo)。

       以加強(qiáng)API鑒權(quán)機(jī)制為例，在身份驗證環(huán)節(jié)，組織應(yīng)排查無需認(rèn)證的API清單，定位弱密碼API，加強(qiáng)密碼強(qiáng)度并強(qiáng)制定期更換密碼，或建立多因素認(rèn)證，可設(shè)立黑名單機(jī)制，將多次訪問失敗的IP納入黑名單，拒絕其訪問，有效減少非法訪問風(fēng)險;在授權(quán)管理環(huán)節(jié)，組織可使用采用RBAC(角色授權(quán))、ABAC(屬性授權(quán))等多種不同細(xì)粒度權(quán)限管理結(jié)合資源訪問時環(huán)境因子(如UA頭、refer、token)認(rèn)證等技術(shù)減少未授權(quán)訪問關(guān)鍵數(shù)據(jù)資源，同時配置資源訪問流量控制，訪問次數(shù)限制和日志監(jiān)測分析技術(shù)等防護(hù)手段，進(jìn)一步強(qiáng)化安全屏障。

　　二是建立API安全長效風(fēng)險管控機(jī)制

　　只要API一直在啟用，即使合法用戶或第三方仍可能存在濫用自身權(quán)限，頻繁訪問、修改、下載、留存敏感數(shù)據(jù)的風(fēng)險，因此，組織應(yīng)建立API安全長效管理機(jī)制，該機(jī)制不僅應(yīng)具備長期監(jiān)測、發(fā)現(xiàn)和預(yù)警來自組織內(nèi)部和外部的非授權(quán)、濫用API安全風(fēng)險的能力，更應(yīng)該具備在發(fā)生數(shù)據(jù)安全泄漏事件時快速定位泄漏源頭，有效控制數(shù)據(jù)泄露負(fù)面影響的能力。只有建立了長效風(fēng)險管控機(jī)制，才能真正保障組織業(yè)務(wù)穩(wěn)定運營和公民個人信息安全。

       三是尋找靠譜的api接口公司

　　結(jié)語

　　必須明確的是，API安全是App安全不可缺少的一部分，沒有足夠安全的數(shù)據(jù)接口，再完善的“隱私政策”，再充分的用戶權(quán)利保障，都將因為數(shù)據(jù)的泄露讓所有努力付之東流。API為每一位用戶、App運營者搭建著無數(shù)座供數(shù)據(jù)快速通行的“無形橋梁”，如何切實保障這些橋梁足夠安全、足夠可靠，是當(dāng)下持續(xù)深入開展治理、精準(zhǔn)施策的“痛點”，也是組織切實提升個人信息安全能力水平的“剛需”。