API 是现代软件的连接组织,为移动应用、微服务和第三方集成提供支撑。由于 API 直接暴露应用逻辑和数据,它们已成为攻击者的重点目标。API 安全是一门设计、测试和防御这些接口抵御滥用的学科。
API 的独特之处
与传统网页不同,API 通过 JSON 或 XML 等结构化数据格式进行通信,通常需要的人工监管最少。这意味着:
- 单个端点的攻击面更大 — 每条 API 路由本质上都是一个具有自己的身份认证、验证和业务逻辑的迷你应用。
- 机器间信任 — 服务通常假设如果请求具有有效的令牌,那就是合法的,攻击者则通过令牌盗取或重放来利用这一点。
- 快速变化 — API 演进快速,未文档化或已弃用的