API的出現(xiàn)和廣泛使用給快速開(kāi)發(fā)提供前所未有的便利條件，但是這種便利的背后也伴隨著不容忽視的風(fēng)險(xiǎn)，今天498科技就給大家來(lái)介紹一下API安全風(fēng)險(xiǎn)：

       想了解無(wú)風(fēng)險(xiǎn)，靠譜api接口的朋友，歡迎撥打咨詢(xún)熱線：400 0591 498 或者點(diǎn)擊留言，498科技免費(fèi)為大家提供咨詢(xún)和解答。

　　風(fēng)險(xiǎn)一：API接口鑒權(quán)失效

　　調(diào)用API其實(shí)本質(zhì)上就是對(duì)后端服務(wù)的調(diào)用，但后端服務(wù)并不對(duì)所有人開(kāi)放，除少數(shù)API(如提供公開(kāi)素材下載的網(wǎng)站)外，絕大部分API需要對(duì)用戶進(jìn)行鑒權(quán)后，再?zèng)Q定是否允許用戶調(diào)用該服務(wù)。鑒權(quán)簡(jiǎn)而言之就是驗(yàn)證用戶是否有權(quán)訪問(wèn)資源、能訪問(wèn)哪些資源，其通常分成兩個(gè)環(huán)節(jié)：先身份驗(yàn)證，后權(quán)限控制，兩者不可分割。但是，不少API接口由于存在開(kāi)發(fā)、配置缺陷等問(wèn)題，導(dǎo)致鑒權(quán)機(jī)制失效。

      常見(jiàn)的鑒權(quán)失效有：用戶身份鑒權(quán)失效、對(duì)象級(jí)別的鑒權(quán)失效和功能級(jí)別的鑒權(quán)失效。用戶身份鑒權(quán)失效通常指用戶無(wú)需認(rèn)證令牌，或通過(guò)一定方式可以繞過(guò)認(rèn)證環(huán)節(jié)，使得非法用戶入侵后臺(tái)系統(tǒng)，進(jìn)而可能導(dǎo)致存儲(chǔ)在該系統(tǒng)內(nèi)的個(gè)人信息泄漏。對(duì)象級(jí)別的鑒權(quán)失效即為水平越權(quán)，指的是用戶只需更改API路徑(End Point)即可實(shí)現(xiàn)對(duì)請(qǐng)求中的對(duì)象ID所屬的敏感數(shù)據(jù)進(jìn)行未授權(quán)訪問(wèn)的情況，例如，通過(guò)修改薪資系統(tǒng)API接口參數(shù)中的員工號(hào)，即可了解其他員工的薪資待遇水平。

      功能級(jí)別的鑒權(quán)失效即為垂直越權(quán)，指的是通過(guò)更改API接口中關(guān)于層級(jí)、群組或角色的參數(shù)，即可實(shí)現(xiàn)對(duì)不同層級(jí)、群組或角色可訪問(wèn)的敏感信息的未授權(quán)訪問(wèn)，例如，惡意人員可將普通用戶名篡改為管理員用戶名，即可訪問(wèn)所有原本僅系統(tǒng)管理員才能查看的敏感信息。

　　風(fēng)險(xiǎn)二：敏感信息展示不當(dāng)

　　敏感信息脫敏展示機(jī)制通常用于保護(hù)用戶敏感信息不被其他未授權(quán)人員訪問(wèn)，以避免用戶權(quán)益受損。敏感信息脫敏展示機(jī)制失效通常有三種情況：未脫敏、偽脫敏、脫敏策略不一致。未脫敏指的是敏感信息沒(méi)有經(jīng)過(guò)脫敏展示即通過(guò)API接口從前端界面進(jìn)行展示，例如直接在客戶端應(yīng)用的界面展示個(gè)人姓名、手機(jī)號(hào)碼和身份證等信息。

        偽脫敏指的是敏感信息僅在前端展示界面脫敏，未在服務(wù)器后端進(jìn)行脫敏，一旦流量被截獲，則可能造成敏感信息泄漏。脫敏策略不一致指的是對(duì)同一類(lèi)敏感信息，未采取一致的脫敏策略，導(dǎo)致將同一條信息不同的未脫敏部分進(jìn)行組合后仍可得到未脫敏的數(shù)據(jù)，例如A界面展示王五的手機(jī)號(hào)為123***789，而B(niǎo)界面展示王五的手機(jī)號(hào)為123456***，則進(jìn)行組合后可以得到王五的完整手機(jī)號(hào)123456789。

　　風(fēng)險(xiǎn)三：過(guò)量數(shù)據(jù)暴露風(fēng)險(xiǎn)

　　該風(fēng)險(xiǎn)指的是API接口在接收到參數(shù)請(qǐng)求時(shí)，后臺(tái)服務(wù)器未做篩選，便將大量數(shù)據(jù)返回至前端，僅依賴(lài)客戶端對(duì)數(shù)據(jù)數(shù)量及類(lèi)型進(jìn)行選擇性展示，但此時(shí)數(shù)據(jù)，尤其是敏感數(shù)據(jù)，可能已經(jīng)全部在前端界面進(jìn)行緩存，訪問(wèn)者查看前端即可獲取大量數(shù)據(jù)。

       例如，王五在前端界面提交了訪問(wèn)A部門(mén)所有員工電話號(hào)碼的請(qǐng)求，但是后端服務(wù)器卻除了返回了A部門(mén)所有員工的電話號(hào)碼，還返回了身份證號(hào)碼、家庭住址等個(gè)人敏感信息，造成個(gè)人信息的過(guò)度收集和敏感信息的暴露。同理，在通過(guò)數(shù)據(jù)接口間接收集個(gè)人信息時(shí)，如果配置不當(dāng)，將可能導(dǎo)致大量無(wú)關(guān)個(gè)人信息被過(guò)度收集。

　　風(fēng)險(xiǎn)四：第三方通過(guò)API違規(guī)留存數(shù)據(jù)

　　當(dāng)下社會(huì)分工逐漸細(xì)化，企業(yè)開(kāi)放很多不同的API接口給第三方合作伙伴已成常態(tài)，從而支持?jǐn)?shù)據(jù)處理、資源共享等操作。但是，若雙方未約定，或第三方未按照約定，則可能存在第三方通過(guò)頻繁訪問(wèn)合作接口，私自過(guò)量緩存、獲取數(shù)據(jù)資源的行為，當(dāng)留存的數(shù)據(jù)資源達(dá)到一定程度，則效果上等同于“拖庫(kù)”。

       前段時(shí)間曝光的某征信企業(yè)非法倒賣(mài)個(gè)人信息案件中，其便是利用上游企業(yè)接口非法緩存公民個(gè)人信息，累計(jì)緩存公民姓名、身份證號(hào)碼和身份證照片一億多條，供下游企業(yè)牟利，造成嚴(yán)重公民個(gè)人信息泄漏。

　　思考與建議

　　如上述風(fēng)險(xiǎn)分析過(guò)程可見(jiàn)，對(duì)于用戶的個(gè)人信息保護(hù)，API安全極其關(guān)鍵，App運(yùn)營(yíng)者應(yīng)當(dāng)引起高度重視。一旦在API安全問(wèn)題上采取措施不力，造成大量個(gè)人信息泄露，可能涉嫌違反《網(wǎng)絡(luò)安全法》第四十二條“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。”

       App運(yùn)營(yíng)者不僅應(yīng)關(guān)注API安全，還需梳理API接口清單、API接口設(shè)計(jì)脆弱性，加強(qiáng)API全生命周期(上線、變更和下線)管理，監(jiān)測(cè)API使用過(guò)程的數(shù)據(jù)安全風(fēng)險(xiǎn)，真正付諸于實(shí)際行動(dòng)，讓個(gè)人信息“采之以理、用之以道、存之以安”。具體有以下建議供參考：

　　一是加強(qiáng)API技術(shù)安全防護(hù)能力

　　雖然API存在安全風(fēng)險(xiǎn)，若采取恰當(dāng)?shù)募夹g(shù)防護(hù)手段，則可以有效的把風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。組織應(yīng)將API安全納入安全防護(hù)體系中，在應(yīng)用系統(tǒng)各個(gè)環(huán)節(jié)與其他技術(shù)手段協(xié)同以達(dá)到加強(qiáng)API安全的目標(biāo)。

       以加強(qiáng)API鑒權(quán)機(jī)制為例，在身份驗(yàn)證環(huán)節(jié)，組織應(yīng)排查無(wú)需認(rèn)證的API清單，定位弱密碼API，加強(qiáng)密碼強(qiáng)度并強(qiáng)制定期更換密碼，或建立多因素認(rèn)證，可設(shè)立黑名單機(jī)制，將多次訪問(wèn)失敗的IP納入黑名單，拒絕其訪問(wèn)，有效減少非法訪問(wèn)風(fēng)險(xiǎn);在授權(quán)管理環(huán)節(jié)，組織可使用采用RBAC(角色授權(quán))、ABAC(屬性授權(quán))等多種不同細(xì)粒度權(quán)限管理結(jié)合資源訪問(wèn)時(shí)環(huán)境因子(如UA頭、refer、token)認(rèn)證等技術(shù)減少未授權(quán)訪問(wèn)關(guān)鍵數(shù)據(jù)資源，同時(shí)配置資源訪問(wèn)流量控制，訪問(wèn)次數(shù)限制和日志監(jiān)測(cè)分析技術(shù)等防護(hù)手段，進(jìn)一步強(qiáng)化安全屏障。

　　二是建立API安全長(zhǎng)效風(fēng)險(xiǎn)管控機(jī)制

　　只要API一直在啟用，即使合法用戶或第三方仍可能存在濫用自身權(quán)限，頻繁訪問(wèn)、修改、下載、留存敏感數(shù)據(jù)的風(fēng)險(xiǎn)，因此，組織應(yīng)建立API安全長(zhǎng)效管理機(jī)制，該機(jī)制不僅應(yīng)具備長(zhǎng)期監(jiān)測(cè)、發(fā)現(xiàn)和預(yù)警來(lái)自組織內(nèi)部和外部的非授權(quán)、濫用API安全風(fēng)險(xiǎn)的能力，更應(yīng)該具備在發(fā)生數(shù)據(jù)安全泄漏事件時(shí)快速定位泄漏源頭，有效控制數(shù)據(jù)泄露負(fù)面影響的能力。只有建立了長(zhǎng)效風(fēng)險(xiǎn)管控機(jī)制，才能真正保障組織業(yè)務(wù)穩(wěn)定運(yùn)營(yíng)和公民個(gè)人信息安全。

       三是尋找靠譜的api接口公司

　　結(jié)語(yǔ)

　　必須明確的是，API安全是App安全不可缺少的一部分，沒(méi)有足夠安全的數(shù)據(jù)接口，再完善的“隱私政策”，再充分的用戶權(quán)利保障，都將因?yàn)閿?shù)據(jù)的泄露讓所有努力付之東流。API為每一位用戶、App運(yùn)營(yíng)者搭建著無(wú)數(shù)座供數(shù)據(jù)快速通行的“無(wú)形橋梁”，如何切實(shí)保障這些橋梁足夠安全、足夠可靠，是當(dāng)下持續(xù)深入開(kāi)展治理、精準(zhǔn)施策的“痛點(diǎn)”，也是組織切實(shí)提升個(gè)人信息安全能力水平的“剛需”。