應用編程接口（API）已經(jīng)成為了促進不同應用架構之間信息交流的橋梁。API可以實現(xiàn)新服務的更快集成和部署。此外，DevOps也需要利用API實現(xiàn)端到端的流程自動化，進而實現(xiàn)服務開通、平臺管理和持續(xù)部署。

　　盡管可以實現(xiàn)快速廣泛的部署，但API卻仍未得到很好的保護，自動化威脅也在增加。由于機器人程序攻擊，個人身份信息（PII）、支付卡明細和關鍵業(yè)務服務都處境堪憂。

　　身份驗證漏洞和賬戶入侵。在請求來自真實用戶時，許多API就不會檢查身份驗證狀態(tài)。攻擊者可以以不同方式利用這些漏洞，如會話劫持和賬戶聚合等，來模擬真正的API調用。攻擊者還會對移動應用進行反向工程，來發(fā)現(xiàn)API是如何被調用的。如果API密鑰是嵌入在應用中的，那么就可能發(fā)生API漏洞。API密鑰不應該被用于用戶身份驗證。網(wǎng)絡犯罪分子還會對入侵的用戶賬戶執(zhí)行證書填充攻擊。

　　缺乏強勁的加密。許多API在API客戶端和服務器之間都缺乏強勁的加密。攻擊者可以通過中間人攻擊來利用這些漏洞。攻擊者會攔截未加密或未受保護的API交易，來竊取敏感信息或修改交易數(shù)據(jù)。此外，由于在促進不同Web應用之間的互操作性上涉及到了多個網(wǎng)關，因此移動設備、云系統(tǒng)和微服務模式的普遍應用又進一步復雜化了API安全。對流經(jīng)所有通道的數(shù)據(jù)進行加密至關重要。

　　業(yè)務邏輯漏洞。API極易遭受到業(yè)務邏輯濫用。這也是為何需要專門的機器人程序管理解決方案以及為何采用對Web應用和移動應用都有益處的啟發(fā)式檢測會產生誤報和漏報等諸多錯誤。

　　端點安全性不佳。多數(shù)的IoT設備和微服務工具都被設定為通過API通道與服務器進行信息交流。這些設備會使用客戶端證書在API服務器上對自身身份進行驗證。黑客會試圖從IoT端點獲取對API的控制權，如果他們成功了，他們就可以輕易對API序列進行重新排序，進而引發(fā)數(shù)據(jù)泄露。

　　為了保護API基礎架構不會遭受到黑客攻擊和濫用，企業(yè)必須實現(xiàn)這9個最佳實踐。

　　Radware是為傳統(tǒng)數(shù)據(jù)中心、云數(shù)據(jù)中心和虛擬數(shù)據(jù)中心提供網(wǎng)絡安全和應用交付解決方案的全球領導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構、應用及企業(yè)IT防護服務，確保企業(yè)的數(shù)字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營商客戶快速應對市場挑戰(zhàn)，保持業(yè)務連續(xù)性，在實現(xiàn)最高生產效率的同時有效降低成本。欲知詳情，請訪問：www.radware.com.cn