經過 20 多年的發展，現在API無處不在。在2021年的一項調查中，73%的企業表示他們已經發布50多個API，並且這個數字還在不斷增長。

在當今API幾乎在每個行業中都發揮著至關重要的作用，並且隨著它們走向業務前沿，重要性正在穩步增加,透過API帶來業務協同和更高的效率。

但是，API就像軟體的任何其他元件一樣存在漏洞。除此之外，如果它們沒有從安全形度進行嚴格測試，還會引入一系列全新的攻擊面，並使您面臨前所未有的風險。如果您等到生產環境才發現API漏洞，則可能會導致大量延遲。

API 對攻擊者具有吸引力，而不僅僅是企業

API不僅是連線應用程式,而且它們以不可預測的方式改變了功能。API可能引入許多為駭客所熟知的獨特弱點，他們開發了不同的方法來攻擊您的API以訪問底層資料和功能。

根據OWASP API Top 10，合法的、經過身份驗證的使用者透過利用看似合法但實際上旨在操縱API的呼叫利用API的情況並不少見。這種旨在操縱業務邏輯和利用設計缺陷的攻擊對攻擊者很有吸引力。

每個API都是獨一無二且專有的。因此，它的軟體錯誤和漏洞也是獨一無二的，也是“未知的”。在業務邏輯或業務流程級別識別導致攻擊的錯誤型別尤其具有挑戰性。

您是否對API安全性測試給予足夠的重視?

相信很多公司已經逐漸開始實現安全左移，並開始在整個開發過程中進行持續的安全測試。然而API安全測試經常在沒有充分了解所涉及的風險的情況下進行。這是為什麼?

原因不止一個：

1. 現有應用安全測試工具通用性強，針對傳統Web應用漏洞，無法有效處理API複雜的業務邏輯。

2. 由於API沒有UI，因此公司通常會分別測試Web、應用程式和移動裝置，而不是API本身。

3. 測試API可能需要大量手動操作，並且在擁有數百個API時不可擴充套件。

4. 相關經驗和專業知識不足，因為API測試比其他型別的測試更復雜。

5. 對於遺留API，可能不瞭解已實現的API或文件。

因此，雖然通常許多企業已經重視左移安全性，但API安全性測試往往被排除在 DevSecOps大局之外。

這樣帶來的後果很嚴重，因為API 漏洞需要比傳統應用程式漏洞更長的時間來修復。在最近的一項調查中，63%的受訪者表示修復API漏洞需要更長的時間。鑑於應用程式對 API的快速採用和依賴，這個數字也可能會上升。

雖然大多數安全領導者都意識到API安全測試的重要性，但只有不到一半的人表示他們還沒有將API安全測試解決方案完全整合到他們的開發管道中。

作為全面檢測安全的第一步，最重要的是檢查當今對應用程式安全測試最常見的方式：靜態程式碼安全測試和動態安全測試。

靜態程式碼安全測試採用白盒方法，透過審查設計、架構或程式碼，包括資料在透過應用程式時可能採用的許多複雜路徑，基於應用程式的已知功能建立測試。

動態安全測試採用黑盒方法，在給定一組特定輸入的情況下，根據應用程式的預期效能建立測試，不需要內部處理或底層程式碼知識。

透過兩者結合使用，可以有效查詢API中存在的安全漏洞和執行時有針對性攻擊的問題。

越來越多的行業意識到需要在API的整個生命週期內保護它們，將API放在安全控制的前沿和中心位置。

為此，需要在開發週期內整合和執行API安全測試標準。這樣，連同執行時監控，安全團隊可以提前解所有已知漏洞。同時，採取措施進行左移API安全測試將降低成本並加快修復時間。

此外，一旦您的測試工作流程自動化，將在保證敏捷開發的同時確保安全開發：測試、修復、重新測試和部署的迴圈，使管道平穩執行並完全避免瓶頸。

API安全測試的業務邏輯方法可以提升開發全生命週期API安全計劃的成熟度，並改善安全狀況。

除了應用越來越廣泛之外，API還為Web應用程式創造了更大的漏洞。許多企業甚至不知道他們的API和漏洞程度。駭客可以透過可用的API輕鬆探測已知和未知的安全漏洞。

然而，API安全測試經常被忽視，並且與Web應用程式一樣處理。因此在進行靜態程式碼安全檢測和動態應用安全測試的同時，也要加API安全列入其中。