REST API 安全最佳实践与常见漏洞解析

API 安全简介

随着 API 在现代应用程序中的普及，API 安全已成为开发人员和安全专业人员关注的重点。2022 年，API 成为主要的攻击媒介。本文介绍了 API 安全的基本要素、常见漏洞及攻击方式，并提供了构建安全 API 的最佳实践。

API 是如何工作的？

表述性状态传输（REST）是一种用于万维网上超媒体数据的软件架构。它是实现应用程序编程接口（API）的常用方法，允许客户端与服务器之间传输数据。

客户端和服务器之间的事务包括向特定端点发出的请求，该请求由基本 URL（服务器域名）、方法（URL 的路径部分）和可选参数组成。请求指定要使用的方法（通常称为动词），并可能包含正文（通常为 JSON 或 XM L）。

服务器在验证请求的身份和授权后，会处理请求并返回响应，其中包括指示请求状态的 HTTP 响应代码。响应可能以不同格式和编码方案返回数据负载。

为什么 API 安全性如此重要？

全球 API 的数量正在迅速增长，Postman 报告称，去年增长率为 39%。Gartner 预计，到 2022 年，90% 的 Web 应用程序在 API 中暴露的攻击面将比在 UI 中暴露的攻击面更多，API 滥用将成为最常见的攻击媒介。API 对攻击者有很大吸引力，因为它们通常通过记录在案的终端节点暴露在外，攻击工具可以轻松自动化攻击。

API 的普遍性、相对容易攻击的特性以及暴露的数据价值，使得 API 安全成为安全和风险专业人员的首要任务。幸运的是，开发人员可以通过一些成熟的模式和实践来有效降低 API 漏洞的风险。

API 安全的基础

保护 API 的第一步是深入了解 API 的基本元素，包括：

传输层安全性 (TLS)

传输层安全性 (TLS) 协议用于确保通过 TCP/IP 网络的安全通信。它加密数据以防止在传输过程中被窃听，并确保客户端能够验证服务器的完整性（通过证书检查）。尽管证书管理曾是一个挑战，但有了 Let’s Encrypt 等服务提供商，证书部署变得更加简单。所有新的 API 开发都应将保护通信网络作为首要任务。

速率限制

公共 API 作为企业的门户，必须防止拒绝服务 (DoS) 攻击。攻击者可能会发起自动化攻击，影响合法用户的性能，甚至耗尽服务器资源。速率限制可以缓解这些问题，限制从特定 IP 地址到终端节点的重复访问。这通常通过 API 网关或专用防护产品（如 WAF 或 API 防火墙）来实现。

访问控制

访问控制是 API 安全的核心，包含两个方面：

身份验证：确定谁在访问 API。
授权：确定用户在 API 中可以做什么。

无身份验证
对于只读的公共 API，可能不需要身份验证，通常用于信息和状态查看。

基本身份验证
基本身份验证是一种过时的方法，通过将用户名和密码编码为 Base64 字符串进行传输，缺乏安全性，不建议用于新设计。

会话 Cookies
通过登录页面进行身份验证后，客户端存储会话 Cookie 进行后续请求。这种方法存在泄露和生命周期管理问题，也不推荐使用。

承载者认证
通过使用用户凭证的哈希值来改进基本身份验证，但仍存在中间人攻击的风险。

API 密钥
API 密钥是常用的身份验证方法。服务器生成密钥供客户端使用，客户端通过标头提交密钥进行验证。虽然 API 密钥适合服务 API，但在客户端应用程序中的安全存储和生命周期管理仍然是挑战。

OAuth 2.0
OAuth 2.0 是广泛使用的身份验证和授权标准，允许客户端通过授权服务器验证身份并获得访问令牌。最常用的流包括授权码流程和使用 PKCE 的授权代码流程，后者增强了安全性，适用于无法存储客户端密钥的应用。

OpenID Connect (OIDC)
OpenID Connect 是建立在 OAuth 之上的身份层，支持通过 JWT 令牌获取用户信息，如用户名和电子邮件，并验证信息的完整性。

授权

一旦确定客户端身份，服务器需要评估其访问资源的权限。访问控制通常在请求级别和对象级别进行。复杂的授权要求最好使用专用库或框架（如 Open Policy Agent）来处理。

JSON Web 令牌 (JWT)

JWT 用于在客户端和服务器之间安全传输信息。JWT 由标头、声明和签名组成。标头提供有关算法的信息，声明部分包含服务器特定的数据，签名用于验证消息的完整性。JWT 的广泛使用要求在生产环境中小心处理，以避免常见的陷阱。

安全的 API 生命周期

有效的 API 安全性理想地建立在完善的 DevOps 流程的基础上。以下是 API 生命周期中关键的安全阶段和最佳实践：

设计

强大的 API 安全性从设计阶段开始，以确保充分考虑以下内容：

基于操作环境的身份验证和授权要求：选择合适的 OAuth 流程。
了解基于用户权限的访问控制模型：确保访问控制符合用户权限。
数据隐私和保护要求：遵循 GDPR、PII、PCI-DSS 等数据保护标准。
适用的法规和治理要求：符合相关法规和治理标准。
新出现的威胁和攻击方法：了解最新的威胁模型，以减少攻击面。
威胁建模：进行正式的威胁建模活动，以了解所有攻击面和弱点。
OpenAPI 规范：定义明确的 OAS 定义是强大且安全的 API 设计的基础，包括请求和响应数据验证、端点规范和安全性。

建设

API 后端的构建是确保 API 安全的关键因素：

设计优先方法：使用 OAS 定义进行审计和审查，确保规范的完整性。
代码生成工具：使用工具如 Swagger Codegen 自动生成 API 后端代码。
框架安全建议：查阅特定框架（如 Spring Boot、ASP.NET Core）的安全建议，特别是有关身份验证和授权中间件的建议。

测试

设计优先方法的一个主要优点是能够利用工具自动化测试：

API 功能测试：确保 API 正常工作。
性能和负载测试：评估 API 的性能。
安全测试：检测潜在的安全漏洞。
API 一致性测试：确保 API 按照 OAS 定义运行，并产生预期的响应。

保护

某些 API 保护措施应在网关级别实施：

速率限制：在 API 流量到达 API 之前进行速率限制。
外部保护：通过 API 网关实现深度防御，减少单点故障的可能性。

API 网关

许多优秀的 API 网关可用于主要云平台：

OAS 定义提取：网关通常可以提取 OAS 定义。
策略实施：管理速率限制、JWT 验证、传输层安全性。
可观察性和监控：提供可观察性和监控功能。

WAF 和 WAAP

Web 应用程序传统上依赖 WAF 来抵御攻击：

WAF 功能：充当客户端和服务器之间的代理，过滤流量中的恶意内容。
下一代 WAF 和 API 保护产品：使用基于代理的保护、RASP、机器学习或人工智能功能提供更接近应用层的保护。

API 微防火墙

API 微防火墙通过积极的安全模型强制执行 OAS 合同：

专用保护：只允许符合协议的方法、端点和数据。
内存占用小：为微服务设计，内存占用较小。

监测

API 生命周期的最后一个要素是主动监控：

遥测和日志记录：嵌入到 API 后端代码中，以提供操作洞察。
警报集成：将来自网关和防火墙的警报集成到 SIEM 和 SOC 中，以便进行安全监控和隔离。

治理

API 安全还包括从设计到运营的全过程治理：

合规性和隐私要求：确保遵守所有法规、合规性和隐私要求。
API 清单管理：维护最新的 API 清单，减少影子 API 和僵尸 API 的普遍性，管理良好的清单对于减少 API 攻击面至关重要。

常见的 API 攻击方法（和防御措施）

了解常见的 API 攻击方法可以帮助开发人员更好地保护 API。以下是主要的攻击方法及其防御措施：

1. 机器人攻击

描述：恶意爬虫程序用于抓取大量数据或 PII。
防御措施：

实施速率限制和 IP 黑名单。
使用验证码（CAPTCHA）验证用户行为。

2. API Discovery 和 Endpoint Enumeration

描述：攻击者试图获取有关 API 及其终端节点的知识。
防御措施：

隐藏 API 终端节点，并使用复杂的路径。
使用强身份验证和授权机制。

3. 拒绝服务攻击（DoS）

描述：通过使服务器过载来使 API 脱机。
防御措施：

实施速率限制。
使用防火墙和分布式拒绝服务（DDoS）保护服务。

4. 凭证填充攻击（Credential Stuffing）

描述：使用常见密码字典攻击 API。
防御措施：

实施速率限制。
使用多因素身份验证（MFA）。

5. 账户接管攻击（Account Takeover）

描述：利用密码重置进程或其他手段接管账户。
防御措施：

强化密码重置过程。
实施速率限制和强多因素身份验证。

6. API 磨损和分页攻击

描述：恶意爬虫抓取整个数据存储，或利用分页功能遍历所有页面。
防御措施：

对同一账户或 IP 地址的请求实施限制。
检测异常请求模式并采取措施阻止。

这些防御措施有助于减少常见的 API 攻击风险，并增强 API 的安全性。

常见漏洞

OWASP 组织发布了专门的 OWASP API 安全 10 大漏洞，描述了前 10 个最常见的 API 漏洞类别。以下是主要的 API 漏洞及其防御措施：

1. 身份验证漏洞（Authentication Vulnerabilities）

描述：身份验证损坏或缺失是 API 漏洞的主要原因。常见问题包括未受保护的终端节点、令牌和密钥泄漏、用户凭据公开和密码重置机制滥用。
防御措施：

强制实施身份验证机制。
对所有敏感终端节点进行身份验证检查。
使用 OAuth 等现代身份验证标准来保护令牌和密钥。

2. 对象级漏洞（Object-Level Vulnerabilities）

描述：这些漏洞允许用户访问不属于他们的对象。攻击者通过操纵对象标识符来探测不良的实现。
防御措施：

进行全面的访问控制检查，确保用户只能访问他们有权访问的对象。

3. 函数级漏洞（Function-Level Vulnerabilities）

描述：用户能够访问未授权的 API 终端节点或功能。根本原因是缺乏适当的授权检查。
防御措施：

对所有 API 端点实施细粒度的权限控制。
确保不同权限级别的用户只能访问他们有权访问的功能。

4. 数据漏洞（Data Vulnerabilities）

描述：

过度数据泄露：API 返回超过预期的数据，如敏感的用户信息。
批量分配：攻击者注入额外的请求数据，这些数据被错误地存储在底层记录中。
防御措施：
返回最小必要数据。
避免直接暴露底层数据存储。
使用简化的数据对象进行操作。

5. 配置漏洞（Configuration Vulnerabilities）

描述：包括错误的操作或运行时配置，如缺少传输加密、接受未使用的 HTTP 方法、冗长的错误消息和不必要的 HTTP 标头。
防御措施：

定期审计和修正配置设置。
确保所有传输使用加密。
避免接受不必要的 HTTP 方法。

6. 实现漏洞（Implementation Vulnerabilities）

描述：包括输入注入（SQL、命令、LDAP 等）、缺乏数据清理、使用易受攻击的库或组件、框架配置错误等问题。
防御措施：

对所有输入进行适当的验证和清理。
使用安全的库和组件，并定期更新。
进行安全代码审查，避免框架配置错误。

这些漏洞和防御措施有助于确保 API 在开发和部署过程中的安全性。通过实施这些防御策略，开发人员可以显著减少 API 面临的安全风险。

保护 API 的最佳实践

要提高 API 的安全性，可以采取以下几种最佳实践：

1. 始终使用 TLS

描述：传输层安全性（TLS）应作为所有 API 端点的标准配置。确保正确配置安全标头，并处理证书的轮换过程。
措施：

强制使用 HTTPS。
配置正确的安全标头和证书管理流程。

2. 使用 OAuth2 进行单点登录（SSO）

描述：OAuth2 标准提供了成熟的身份验证和授权机制，避免自己设计和实现复杂的身份验证工作流。
措施：

采用 OAuth2 标准进行授权。
使用 OAuth playground 和权威指南进行最佳实践学习。
如果 OAuth 不适用，使用 API 密钥，并确保密钥的范围有限，易于撤销和替换。

3. 练习良好的 API 密钥和令牌管理

描述：确保 API 密钥和令牌的安全性，避免明文存储或提交到版本控制系统中。
措施：

不将密钥和令牌提交到版本控制系统。
不在终端设备或 CI/CD 管道中以明文形式存储密钥。
使用短期密钥和最低权限的令牌。

4. 使用策略代理进行细粒度授权管理

描述：在 API 的每个函数端点实施访问控制时，使用中央授权终端节点或授权框架来避免实现错误。
措施：

使用集中决策的授权框架或库来管理细粒度授权。

5. 消除未使用的端点方法

描述：删除未使用的 HTTP 方法（如 DELETE、OPTIONS、PATCH）以减少攻击面。
措施：

在框架中显式删除无效方法。
定期审查和更新 API 端点。

6. 应用配额和速率限制

描述：通过设置配额和速率限制来防止拒绝服务攻击和大规模数据泄露。
措施：

实施配额和速率限制。
在代码和防火墙或网关级别实现此类防御。

7. 使用 API 防火墙和网关

描述：利用云平台提供的 API 网关服务和定制的 API 微防火墙来加强 API 安全。
措施：

配置 API 网关，实施速率限制和传输安全。
使用定制的 API 微防火墙来解决特定安全问题。

8. 管理 API 清单

描述：积极管理和审查 API 清单，识别和处理过时或弃用的 API。
措施：

使用标准和最佳实践管理新 API。
定期审查和更新 API 清单。

9. 使用经过验证的标准库

描述：依赖成熟的标准库来处理常见模式和工作流程，避免自行实现可能存在安全漏洞的功能。
措施：

使用社区认可的标准库进行 OAuth2 授权、JWT 令牌验证等。
参与社区，贡献修补程序和更新。

这些措施有助于保护 API 免受各种安全威胁，并确保其安全性和可靠性。

结论

开发人员在确保 API 的功能性和安全性方面面临着显著挑战。为了保护 API 不被攻击者利用或破坏，安全性应贯穿 API 开发的整个生命周期。以下是关键点：

深入理解关键概念：开发人员必须清楚授权和身份验证等关键安全概念，以便正确实施和维护 API 安全。
采用最佳实践：使用已验证的安全措施和最佳实践，如始终使用 TLS、实施 OAuth2 认证、管理好 API 密钥和令牌、以及使用 API 防火墙和网关来增强 API 的保护层。
预见攻击手法：开发人员应像对手一样思考，了解潜在的攻击方法和漏洞，从而更好地保护 API。例如，防止爬虫程序滥用、应对拒绝服务攻击、处理凭证填充攻击等。
利用技术工具：开发人员和安全团队应利用现代技术工具，如 API 微防火墙和 API 网关，来添加额外的保护层并增强 API 的安全性。

通过结合这些方法和工具，开发人员可以显著提高 API 的安全性，确保 API 在抵御各种安全威胁方面表现良好。

原文链接：REST API Security Essentials