近日 ，网传某大学毕业生马某在硕士期间通过爬取学校网站某系统的API接口，盗取了该校自2014级到2022级所有学生的个人资料，包括照片、姓名、学号、籍贯、生日等，并公开发布在网站上供人浏览，甚至还可以给该校女学生的颜值打分。虽然马某已被海淀公安局分局依法刑事拘留，但此事后续带来的影响和冲击仍然不断在网络上持续发酵。

事实上，近几年由API攻击引发的大规模数据泄漏事件不在少数：

早在2021年4月，Linkedln曝出惊天数据泄露事件，黑客通过API漏洞入侵了7亿多Linkedln用户的数据，并在暗网上出售这些数据；2021年6月，国内某大型电商平台由于API接口被爬虫攻击，导致用户ID、昵称、手机号以及用户评价等敏感信息遭到泄露，超11亿8千多万用户受到影响。2023年1月，2亿Twitter用户数据被以2美元的价格出售，数据流出的渠道仍旧是API漏洞……

这些事件不过当前严峻API安全形势的冰山一角。随着微服务架构的普及、开发向低代码/无代码转变，API的应用持续扩大。据有关机构统计，2022年我国新创建了6700多万个API，大量的数据通过API进行共享交互，但与之对应的API安全措施却并没有引起机构足够的重视，这是造成上述诸多数据泄漏事件的重要原因之一。

API它的全称是Application Programming Interface，也叫做应用程序接口，它定义了软件之间的数据交互方式、功能类型。是不同软件应用程序之间进行通信和交互的接口，允许应用程序之间共享数据和功能。

API安全就是指保护应用程序编程接口（API）免受未经授权的访问、滥用和恶意攻击等的一系列措施和方式。API已经在软件应用体系结构中占有重要的地位。通过在多个服务之间建立通信管道，它们彻底改变了Web应用程序的使用方式。除了传统的CS或第三方通信之外，API也在微服务中占有绝对的重要地位，微服务是当今最具创造性和最常用的应用程序架构模型。因此，保护API以减少其被攻击的机会，成为企业无法回避的责任。

API安全是信息安全的新兴领域，OWASP（Open Web Application Security Project）API Security是一项专注于API安全的研究项目，OWASP组织在2019年第一次提出了API Security Top 10的概念。这份TOP 10清单以其独特的视角，准确地揭示了API安全中的重要风险。在今年的6月5日，OWASP又正式更新发布了2023版API安全Top 10清单（如下图表）。

从上面清单中可以发现2023年发布的正式版与2019年第一版相比，4年来API安全领域发生了不小的变化，上面的列表中更新和新增的风险占了多数，比如OWASP API Top 10 2023 新增对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。另外对4条风险点进行了更新：用户身份认证失败（Broken User Authentication ）修改为身份认证失败 （Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。对象属性级别的授权失败（ Broken Object Property Level Authorization），在最新列表中排名第 3，结合了过度数据暴露 (API03:2019)和批量分配 (API06:2019)。这两个风险点都强调需要正确保护 API参数 ，以防止威胁参与者未经授权的访问和利用。还有资源访问无限制（Lack of Resources and Rate Limiting ）重命名为不受限的资源消耗（Unrestricted Resource Consumption）。2019的版本中重点放在漏洞上，但现在不受限制的资源消耗(API04:2023)还强调了没有适当的速率限制和其他资源使用限制的后果。

根据Wallarm的最新报告，API攻击数量在2022年暴增两倍，API漏洞数量下半年比上半年增长了78%，API漏洞利用时间（漏洞CVE发布到漏洞利用POC发布之间的时间）从二季度的58天骤减到四季度的-3天，今年API安全将延续这一趋势。

API安全事件屡见不鲜，其主要原因是随着API的广泛使用，针对API的恶意攻击行为愈发增多。然而，作为使用API的企业，既要API的开放，又要API的安全，成为了企业开展数字化业务的“两难困境”。企业大部分情况下很难及时了解API安全缺陷及流动的敏感数据情况，尤其在互联网、金融、政府、教育、医疗、能源等存在大量API及流动数据的行业，主要体现在四大难：

随着业务应用的持续增加，API数量爆发式增加，导致很多企业并不清楚自己有多少API，更不了解API处于什么状态，系统中存在大量影子API、僵尸API。面对异常庞杂的API资产，如果单纯依靠人工进行资产梳理，企业根本无法了解API资产的真实情况，更无从掌握API面临的安全风险。

API安全是网络安全的新兴领域，OWASP在2019年才第一次推出了API Security Top 10。而企业的安全人员对API安全的理解往往不够深入，很多API未经严格的安全测试就上线，导致存在严重的安全缺陷，如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历等，增加了数据暴露的风险。

难以管控的API资产与难以发现的API漏洞会持续扩大应用程序攻击面，让攻击者更容易进行侦察、收集配置信息以及策划网络攻击。面对难以发现的API攻击，企业不但需要防范已知攻击，还要及时对未知攻击做出响应，这要求API安全产品不但要具备丰富的威胁模型，还要具备应对未知风险的能力。

目前利用API窃取敏感数据并进行业务欺诈已经成为黑客最常用的攻击方式之一。如果企业不能有效识别敏感数据，对数据进行脱敏、加密处理，无异于放任数据在API这条“数据公路”上“裸奔”，一旦流量被截获、破解，后果不堪设想。因此，企业必须构建对敏感、重要数据的识别、溯源能力，保证数据被安全的调用、传输。

从本质上讲，API 会暴露应用程序逻辑和敏感数据，例如个人身份信息 (PII)，因此，越来越多的黑客利用API窃取敏感数据并进行业务欺诈。没有永远安全的 API，如何动态、实时地发现API安全风险成为了当下企业难以解决的问题，建议企业加强API安全建设时做好以下几点：

正所谓不打无准备的仗，“打仗”之前得先弄清楚立场，哪些是需要保护的资产，因此我们首先要做的事就是做到全方位摸排资产信息，通过在动态的接口调用流量中，梳理出完整的API资产清单，并对API按照业务属性进行分类标识，针对接口调用对象、涉及的敏感数据、调用频次等综合统计接口多维信息，做到API接口概况了然于心。

“打铁还要自身硬”，“苍蝇不叮无缝的蛋”……大部分的API安全事件的发生，皆是因为自身存在安全配置错误、访问鉴权不合理、数据过度暴露、登录弱密码等脆弱性，这些脆弱性一旦被利用，安全高地分分钟被拿下。因此在API资产清单梳理完成后，API的自身隐患（脆弱性）需要进行动态的排查，尽量避免API漏洞的出现，做到隐患早暴露早整改。

在2023年的API安全风险清单TOP10中，新增了SSRF、自动化威胁检测不足等，可见API所面临的攻击风险异常严峻。API接口与业务紧密关联，尽管API隐患排查已经做到及时补漏，但是风险无处不在，针对API的外部攻击、恶意利用都是对API安全体系最大的威胁之一，因此需要建立起一套符合API业务特点的安全风险监测体系，做到风险及时发现。

千万不要以为做到上面三点就万事大吉了。有人说我们有WAF做底牌，妈妈再也不用担心API被攻击了。打住，ChatGPT都知道WAF并不能有效阻止API攻击，虽然API和Web存在共通点，但是它们的维度是不一样的。API要有属于自己的安全防护手段。符合API业务特点的安全整体方案，除了需要涵盖以上几点，同时还要具备安全防护能力，包括攻击防护、自动化威胁防护等，为API安全来兜底，真正意义上做到API上线后的全方位安全武装。