专访沃顿在线履行总裁朱磊：谈谈那些不安全的API

在今年7月底举行的WOT2015挪动互联网开辟者大会上，北京沃顿在线信息技术有限公司执行总裁、安全专家朱磊先生带来了关于《APP中那些不安分的小接口》的精彩演讲，并在会后接受了51CTO记者的采访。

在本次采访中，朱磊向咱们介绍了那些不安全的API，并解释API为何会给企业构成重大危险，以及企业应如何确保API在企业情况中的安全性。

【受访者简介】

朱磊是专注运维安全的北京沃顿在线信息技术有限公司创始人，《暗战：数字世界之战》一书作者。他曾任京东研发系统安全经理，具有多年的互联网信息安全治理经验，丰富的信息安全理念和多个安全系统架构经验。

那些不安全的API

2015年1月，Moonpig因安全破绽泄漏了约300万名客户的信用卡信息，随后该网站关闭了挪动app。研究发现该破绽出现在MoonPig挪动app可与其服务器通讯的部分，即API。API发送的信息并不是受单个用户名及暗码掩护的信息，而是受到同一凭证掩护的信息，不管登录的用户是谁。因此，攻打者可拜访网站任何一名用户的详细资料、查看之前的订单并对任何用户下订单。

2014年1月，Snapchat数据泄漏事故导致约460万用户受影响，而该事故的根源就是不安全的API。虽然API并不是直接攻打目标，但API允许攻打者大规模匹配Snapchat用户的手机号码、昵称与用户名等个人资料。

朱磊透露，据国内某安全机构最新挪动安全报告指出，截至2015年第一季度，安卓设备的病毒感染量高达2406.6万，平均7.6台安卓设备就有1台被感染。在安卓挪动应用平台，16个行业的top10应用共有4,775个破绽，平均每个应用有30个破绽。4,775个危险破绽中，44%属于高危破绽、56%属于中危破绽。他表示，良多APP存在的安全破绽大多与API有关，也许在咱们应用的众多APP中，也许就有那么一个甚至两个或多个存在着危险，只是咱们不知道。

为什么API会给企业带来重大危险?

API一直是信息安全界比较关注的一个成绩，良多的安全泄漏变乱都是跟API有关。从近两年曝出的多起安全变乱分析来看，利用网站服务器与手机APP之间的接口存在的破绽对网站服务器发起攻打，已经成为一种流行趋势。良多网站在APP的接口的拜访治理和拜访把持机制要弱良多。这些APP背地的服务器,平日处于一个盲区(一般没拜访入口),很少有人会去关注这些服务器安全情况。但对攻打者来说,只需简单利用,便能得到这一系列的APP背地的服务器地址以及API接口信息,然后通过挖掘这一系列的API接口的破绽,就能直接获取到云端全部信息。

为什么API会给企业带来信息泄漏等安全危险呢?对此，朱磊给出了他的看法。

他认为，由于API实在是网站的一个衍生体。对网站来说它背地有良多接口，虽然对用户的感官来看，它是一个完整的页面，展示全部的商品与网站内容。但对网站后台来说，更多的是一个一个接口去组成这些数据，形成一个完整的页面。而接口涉及到良多信息，这时假如API各种接口在权限把持上不够严格，就会造成较严重的信息泄密变乱。针对手机APP，实在它本身存在的安全成绩不像外部产生的那么多那么直接。以是开辟职员会把良多精力放在API的接口和测试上，来验证每一个API的接口，严格把持权限，检验信息查询功能，确保按需投放数据。由于假如没有任何把持，当查询一个手机号码时，API的端口会把职员的姓名，手机号家庭住址以及其他的相干信息全部展示出来。经统计调查发现，注入、越权、暴力破解暗码等成绩归根到底实在良多都与接口相干。

如何确保API在企业情况中的安全性?

据了解，安全成绩平日不在于API背地的概念，而在于它的编码方式。良多应用开辟职员在编写或应用API时没有考虑安全因素，使得应用和数据处于伤害之中。当涉及API时，糟糕编写的代码很快就会变成伤害代码。

因此，企业及其开辟职员必需采取一些措施来加强和确保API在企业情况的安全性。朱磊倡议企业加强安全防护确保API的安全性时需做好“权限考核”。他认为，安全性对企业内部来说，更多的是每个企业部分和部分之间相互的配合。实在就跟API每一个之间的配合是一样的，每个部分担任一个营业线的API的开辟、测试，功能性安全的检查。当将这些API全部都拼在一起，合成一个网站或许APP界面的时间，实在更多的还是权限成绩。

朱磊表示，对服务器来说，服务器情况是整个API或许顺序运行的基础。咱们早期的安全主要是面向于服务器，尤其是服务器的补丁，用户权限，包括一些文件权限、应用权限等。但是随着现在营业的这些发展，API的应用越来越多。服务器运维要把持一部分自己服务器的权限，产品开辟团队要担任一部分API权限，两个相互之间对接时要实现很好的把持。这个层面不光是要顺序代码当中实现，在相互调动之间去做身份的考核，更多的是在流程设置的时间，要尽量去做一些标准化的接口的对应和平台的对接。

写在最后

针对API的安全防护成绩，笔者也谈谈自己的倡议，希望企业能够重视以下几点，尽量防止因API的安全成绩导致信息泄漏变乱的发生。

受权用户和认证顺序：Web应用顺序中平日只有对最终用户进行身份验证，实在API世界也必需验证应用顺序。应用身份验证和受权的标准化协议，能够更安全地应用API。

加密传输：总是对敏感数据进行加密，防止纯文本的传输。开辟职员应当应用SSL证书，保证web api端点项目和web服务接口间敏感数据的传输安全，防止黑客嗅到这些数据。

掩护证书：在特定类型的营业场景中治理应用顺序，能够采用SSL VPN、数字签名的令牌多种安全机制。令牌是唯一地标识一个用户的字符串，你能够将这些字符串存储在一个数据库，假如用户输入正确的用户名和暗码就能够拜访，然后应用API用户拜访一个API的方法。

防止静态或嵌入式暗码：当你想要改变政策或更新安全时，将全部的逻辑构建到挪动应用顺序并不是一件好事。有时有些开辟职员走捷径，应用简单的暗码或许让手机应用顺序在本地缓存ID和暗码。从安全的角度来说，这是一个巨大的成绩，以是必需要防止静态暗码。

只公开必要的信息：开辟职员平日会把用户的全部信息给API，由于他们不知道哪些数据是必需的。为确保隐私安全，应当只提供需要的数据。

转载自:https://netsecurity.51cto.com/art/201508/488013.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《专访沃顿在线履行总裁朱磊：谈谈那些不安全的API》
本文地址：https://www.zhiletu.com/archives-4547.html
关注公众号：