應(yīng)用編程接口（API）已經(jīng)成為了促進不同應(yīng)用架構(gòu)之間信息交流的橋梁。API可以實現(xiàn)新服務(wù)的更快集成和部署。此外，DevOps也需要利用API實現(xiàn)端到端的流程自動化，進而實現(xiàn)服務(wù)開通、平臺管理和持續(xù)部署。

　　盡管可以實現(xiàn)快速廣泛的部署，但API卻仍未得到很好的保護，自動化威脅也在增加。由于機器人程序攻擊，個人身份信息（PII）、支付卡明細和關(guān)鍵業(yè)務(wù)服務(wù)都處境堪憂。

　　身份驗證漏洞和賬戶入侵。在請求來自真實用戶時，許多API就不會檢查身份驗證狀態(tài)。攻擊者可以以不同方式利用這些漏洞，如會話劫持和賬戶聚合等，來模擬真正的API調(diào)用。攻擊者還會對移動應(yīng)用進行反向工程，來發(fā)現(xiàn)API是如何被調(diào)用的。如果API密鑰是嵌入在應(yīng)用中的，那么就可能發(fā)生API漏洞。API密鑰不應(yīng)該被用于用戶身份驗證。網(wǎng)絡(luò)犯罪分子還會對入侵的用戶賬戶執(zhí)行證書填充攻擊。

　　缺乏強勁的加密。許多API在API客戶端和服務(wù)器之間都缺乏強勁的加密。攻擊者可以通過中間人攻擊來利用這些漏洞。攻擊者會攔截未加密或未受保護的API交易，來竊取敏感信息或修改交易數(shù)據(jù)。此外，由于在促進不同Web應(yīng)用之間的互操作性上涉及到了多個網(wǎng)關(guān)，因此移動設(shè)備、云系統(tǒng)和微服務(wù)模式的普遍應(yīng)用又進一步復(fù)雜化了API安全。對流經(jīng)所有通道的數(shù)據(jù)進行加密至關(guān)重要。

　　業(yè)務(wù)邏輯漏洞。API極易遭受到業(yè)務(wù)邏輯濫用。這也是為何需要專門的機器人程序管理解決方案以及為何采用對Web應(yīng)用和移動應(yīng)用都有益處的啟發(fā)式檢測會產(chǎn)生誤報和漏報等諸多錯誤。

　　端點安全性不佳。多數(shù)的IoT設(shè)備和微服務(wù)工具都被設(shè)定為通過API通道與服務(wù)器進行信息交流。這些設(shè)備會使用客戶端證書在API服務(wù)器上對自身身份進行驗證。黑客會試圖從IoT端點獲取對API的控制權(quán)，如果他們成功了，他們就可以輕易對API序列進行重新排序，進而引發(fā)數(shù)據(jù)泄露。

　　為了保護API基礎(chǔ)架構(gòu)不會遭受到黑客攻擊和濫用，企業(yè)必須實現(xiàn)這9個最佳實踐。

　　Radware是為傳統(tǒng)數(shù)據(jù)中心、云數(shù)據(jù)中心和虛擬數(shù)據(jù)中心提供網(wǎng)絡(luò)安全和應(yīng)用交付解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎(chǔ)架構(gòu)、應(yīng)用及企業(yè)IT防護服務(wù)，確保企業(yè)的數(shù)字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營商客戶快速應(yīng)對市場挑戰(zhàn)，保持業(yè)務(wù)連續(xù)性，在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。欲知詳情，請訪問：www.radware.com.cn