随着云计算、移动应用和物联网高速发展，API（应用程序编程接口）正被广泛应用。作为现代应用的基本组成部分，API 使开发人员能够迅速集成第三方服务、丰富功能并推动创新。无论是扩展医疗保健服务还是推动电子商务，API 都已经无缝地融入到我们数字生活的基础中。也正因此，利用 API 漏洞进行的网络攻击正频繁发生。

01 API 的网络攻击数据泄露事件频发

以下几个公司的案例展示了 API 安全性不足所带来的潜在风险。

Quest Diagnostics

由于第三方 API 中的漏洞，美国顶级临床实验室服务提供商之一的 Quest Diagnostics 发生了重大数据泄露。攻击者利用了第三方支付页面中的此漏洞（可通过暴露的API访问），最终导致约 1190 万名患者的医疗记录被未经授权访问。

Latitude Financial

总部位于墨尔本的 Latitude Financial 在 2023 年 3 月发生了严重的数据泄露事件，导致超过 1400 万条记录被泄露。受影响的数据包括近 800 万个驾驶执照、53000 个护照号码和多份月度财务报表。

Dropbox

2022 年 11 月 1 日，网络罪犯成功地侵入了托管在 GitHub 上的 Dropbox 内部代码仓库。这次未经授权的访问涉及了 130 个内部代码仓库，其中一些存储了 API 密钥和用户数据。攻击者通过发送类似于  CircleCI （一种广泛使用的 CI/CD 任务流平台）的欺骗性电子邮件来实施网络钓鱼活动。收件人被引导至一个伪造的 CircleCI 网页，并被提示输入他们的 GitHub 凭据。随后，他们收到了一次性密码请求，这增加了欺骗性。

Peloton

2021 年 5 月，一名安全研究人员发现互动健身平台 Peloton 存在一个漏洞，在该漏洞中，可以向 Peloton 的后端 API 提出未经验证的请求，而这些 API 是其运动设备和订阅服务不可或缺的组成部分。这个漏洞允许直接访问 Peloton API 端点，可能会暴露大量个人身份信息（PII），从而影响 Peloton 客户的隐私。尽管 Peloton 最终解决了 API 漏洞，但其客户的 PII 暴露程度仍不确定。

02 加强 API 安全性：Fortify API 安全测试十大优势

由于基于 API 的漏洞越来越多，企业越来越致力于加强对 API 相关风险的了解和控制。在寻求 API 安全测试解决方案时，Fortify 可以帮助您有效识别 API 的弱点和漏洞。以下是 Fortify 在满足 API 安全测试需求方面的十大独特优势：

01 广泛的 API 安全评估

Fortify 提供全面的 API 安全测试方法，包括动态分析 (DAST) 和静态分析 (SAST)。这样就能在开发生命周期的各个阶段检测 API 中的漏洞和安全缺陷。Fortify 具备混合分析的独特能力，确保从更全面的角度看待 API 安全性，这使其有别于该领域的许多专业竞争对手。

02 真实的测试场景

许多 API 需要身份验证才能访问敏感数据或执行重要操作。在没有身份验证的情况下对 API 进行测试可能会产生虚假的安全感。Fortify 具备处理各种 API 身份验证方法（包括MFA）的能力，有助于模拟真实情况，从而提高安全性测试的准确性和相关性。

03 API 攻击面评估

对一个应用程序中包含的 API 有深入了解，使安全测试人员能够全面评估应用程序的攻击面。这确保了潜在的漏洞或入口点不会被忽视。Fortify DAST 具备在抓取网络应用程序时利用 schema 和 Postman 等工具发现 API 的能力。

04 为企业量身定制的可扩展性

Fortify 的设计针对可扩展性进行了优化，以满足企业级应用程序的需求，使其成为拥有复杂而庞大的 API 环境的企业的理想选择。

05 数据流分析

API 在规范应用程序内部数据流动方面发挥着关键作用。Fortify SAST 的数据流分析器能够发现涉及被污染数据的安全问题，这些数据被用于潜在的危险用途。这种分析使得 Fortify SAST 能够精确地识别许多不同类型的安全问题。

06 无缝集成

Fortify 可与知名开发工具、CI/CD 任务流和问题跟踪系统无缝集成。这简化了开发团队将 API 安全测试无缝集成到既定工作流程中的过程。

07 第三方风险评估

许多应用程序依赖于第三方 API 和服务。当涉及到评估与第三方相关的安全风险时，识别这些依赖关系至关重要。第三方 API 中的漏洞或安全弱点可能直接影响应用程序的整体安全性。

08 安全配置评估

API 可能需要特定的配置才能安全运行。Fortify 会评估这些配置是否被正确部署，降低了由于配置错误导致的安全问题的风险。

09 支持法规和政策遵从

Fortify 提供的功能可以帮助企业遵循与 API 安全性相关的合规要求（包括 OWASP API 安全十大原则和 GDPR 等法规）。

10 强调补救措施

并非应用程序中的所有 API 都具有相同程度的风险。Fortify 提供全面的报告和可行的指导，以解决 API 中已识别的安全问题。这样就能采取有针对性的补救措施，将资源用于管理敏感数据或执行关键功能的 API（因为这些 API 通常风险较高）。

随着 API 在现代应用架构中不断发挥关键作用，基于 API 的网络威胁日益严重。从医疗保健到金融等各个行业，API 的易集成性和快速创新使其变得不可或缺。然而，对 API 接口的日益依赖也使其成为网络罪犯寻求可利用漏洞时的重点目标。

上文列举的几起备受瞩目的恶性事件揭示了安全性不足的 API 所带来的风险。这些泄露事件导致了敏感信息的曝光，由此可见强化 API 安全性措施是重要且必要的。

如果您正在扩大应用程序安全的工作范围，并计划将 API 安全纳入其中，Fortify 可提供全面的解决方案，助您解决 API 安全测试难题。

（文章来源公众号：MicroFocus）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

关于亿道电子

上海亿道电子技术有限公司是国内资深的研发工具软件提供商，公司成立于2009年，面向中国广大的制造业客户提供研发、设计、管理过程中使用的各种软件开发工具，致力于帮助客户提高研发管理效率、缩短产品设计周期，提升产品可靠性。

十多年来，先后与ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立战略合作伙伴关系，并作为他们在中国区的主要分销合作伙伴服务了数千家中国本土客户，为客户提供从芯片级开发工具、EDA设计工具、软件编译以及测试工具、结构设计工具、仿真工具、电气设计工具、以及嵌入式GUI工具等等。亿道电子凭借多年的经验积累，真正的帮助客户实现了让研发更简单、更可靠、更高效的目标。

欢迎关注“亿道电子”公众号

了解更多研发工具软件知识