- 作者 | Annie Chou
OWASP 是什麼?揭密 10 大 API 安全風險,以及企業該如何防範
API 是現代化架構的重要支柱,不論是企業內部系統的介接,抑或是整合外部資源,皆需要透過 API 進行串接。然而隨著服務類型的多元化,API 在應用程式中的數量不斷增加,也使得 API 的安全管理變得越來越複雜。
近幾年 API 安全議題時有所聞,像是 AI 模型資源平臺出現 API 安全漏洞,使得攻擊者可任意竄改訓練資料、改造成惡意的 AI 模型;抑或是知名安全研究團隊掃描了上億個 URL 發現超過 18,000 個 API 金鑰外洩。API 的洩漏風險可能會導致企業面臨商業損失、監管懲罰等甚至更嚴重的結果。
什麼是 OWASP?跟 API 安全有何關聯?
Open Worldwide Application Security Project (OWASP) 是一個非營利組織,致力於改善軟體的安全性,他們的願景是 “No more insecure software.” 因此他們網站上所有的專案、文件等都免費公開,讓任何對提高應用程式安全性的人可以自由存取。其中,在所有他們公開的文件中,最著名的便是「OWASP Top 10」。
2023 年 OWASP 發表了最新的 10 大 API 安全風險,是一份針對開發人員和 Web 應用程式安全性的標準意識文件,可作為企業 API 治理、防範安全攻擊的參考指標。
OWASP 2023 年發表最新的 10 大 API 安全風險!
相較於 2019 年的版本,2023 年版本中新增了第 6、7、10 項,除了強調授權的重要性,也更重視請求偽造與 API 的資產管理問題。
重點一:授權
本次 10 大風險排名裡頭,有 3 個跟授權有關(排名第1、3、5),可見其安全風險的重要性。其中所提及的物件,其實就是資料的控管,API 是串連各方服務與平台資料的重要角色,其執行的資料結果多以物件和屬性的方式回傳,因此若沒有針對物件中的各屬性進行存取授權的驗證,抑或是驗證規則過於複雜導致難以管控,都可能出現漏洞而成為攻擊者的目標。
重點二:偽裝
當 API 在沒有驗證使用者身份與所發出的請求資源是否合法時,可能出現伺服器偽造漏洞,攻擊者可以利用系統發出偽造請求,進而存取後端重要資料。當出現這樣的情況時,就連防火牆和 VPN 也都防不勝防。
重點三:管理
更重要的是,為了徹底排除上述安全風險,需參照各風險來建立防護措施與控管機制。API 大小事需要系統化的納管,此時若能選擇導入一套符合產業標準的 API 管理平台來進行建置,將會是比較有效率且更安全的做法。
預防風險,從 API 治理開始
儘管掌握了 API 的安全疑慮,但要徹底預防 API 安全風險,則建議應由 API 治理開始。所謂 API 治理,其重點是在於針對 API 來建立相關的政策、規範、流程與標準,讓實際面的執行與作業有可依循的準則。
而要開始進行 API 治理,則要先擬定企業對 API 的策略目標,盤點企業現況與業務流程需求,並自我檢視目前 API 的成熟度後,訂立各項 API 治理規範。當 API 治理規範逐步完備時,則可開始依循 API 治理規範來規劃具體執行計畫,來建構更現代化的 API 服務架構,並導入各種管理工具來建立更有效率的 API 管理作業。
昕力資訊的 digiRunner 是一套完整的 APIM 管理平台,符合 OIDC、OAuth2、JWT 等技術標準,能協助企業組織管理整個 API 生命週期,並建立「零信任」API 安全機制,可提供組織 滿足 10 大風險的完整防護機制。
digiRunner 可支援雙向 TLS (mTLS),有效驗證才連線,確保使用 API 的通訊保密性及可靠性。同時可透過 API 組合與設計(API Composer)模組進行加值開發,支援多種 API 格式轉換,拖拉即可輕鬆組合打造出新的 API,更可以作為資料轉換彈性串接的中介,針對要傳送給其他夥伴 API 的請求內容進行檢核與控管。
針對平台外部呼叫者使用 API,digiRunner 的開發者入口網可分類上架 API 與相關資源,並設定使用權限。更提供沙盒模擬測試功能,可自訂測試模擬資料於沙盒環境中進行測試,而不須使用正式環境資料。
若您想了解更多 digiRunner 的安全保護功能,歡迎與我們聯繫。
延伸閱讀: 從 API 盤點到管理 避免不受控的野生 API