API接口安全_接口防爬

作者：小丑西瓜9 | 2024-04-13 11:32:34

踩

接口防爬

API 组成要素

API 通常包含如下组成要素，在这些要素的共同作用下，API 才能发挥预期作用。

（1）通信协议：API 一般利用 HTTPS 等加密通讯协议进行数据传输，以确保数据交互安全。

（2）域名：用于指向 API 在网络中的位置。API 通常被部署在主域名或者专用域名之下，接入方可通过域名调用相关 API。

（3）版本号：不同版本的 API 可能存在巨大差异，尤其对于多版本并存、增量发布等情况，API 版本号有助于准确区分 API 的参数设置。

（4）路径：路径又称“终点”（end point），指表示 API 及API 执行功能所需资源的具体地址。

（5）请求方式：API 常用的请求方式有 GET、POST、PUT 和 DELETE 四种，分别用于获取、更新、新建、删除指定资源。

（6）请求参数：即传入参数，包含数据格式、数据类型、可否为空以及文字描述等内容。传入参数主要包括 Cookie、Request 、header、请求 body 数据和地址栏参数等。

（7）响应参数：即返回参数或传出参数，返回参数本身默认没有值，用于带出请求参数要求 API 后台所返回的数据。

（8）接口文档：接口文档是记录 API 相关信息的文档，内容包括接口地址、请求方式、传入参数（请求参数）和响应参数等。

API安全风险分析：

1.API 漏洞导致数据被非法获取：不法分子可能利用 API 漏洞（如缺少身份认证、水平越权漏洞、垂直越权漏洞等）窃取用户信息、企业核心数据。例如在开发过程中使用非 POST 请求方式、Cookie 传输密码等操作登录接口，存在 API 鉴权信息暴露风险，可能使得 API 数据被非法调用或导致数据泄露。

2、针对 API 的常见网络攻击包括重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等。通过上述攻击，不法分子不仅可以达到消耗系统资源、中断服务的

目的，还可以通过逆向工程，掌握 API 应用、部署情况，并监听未加密数据传输，窃取企业数据。

3.网络爬虫通过 API 爬取大量数据：通过开放 API 对 HTML 进行抓取是网络爬虫最简单直接的实现方式之一，不法分子通常采用假 UA 头和假 IP 隐藏身份，一但获取企业内部账户，可能利用网络爬虫获取该账号权限内的所有数据。如果存在水平越权和垂直越权等漏洞，在缺少有效的权限管理机制情况，不法分子可以通过掌握的参数特征构造请求参数进行遍历，导致数据被全量泄露。此外，移动应用软件客户端数据多以 JSON 形式传输，解析更加简单，反爬虫能力更弱，更易受到

网络爬虫威胁。

4.合作第三方非法留存接口数据：以个人身份验证类合作为例，在需要进行实名验证的时候，合作方可通过 API 请求调用相关个人身份信息。正常情况下，服务器获取请求后在后端进行验证并返回结果，此过程中恶意合作方可能留存验证结果，经过长时间积累，非法变相获取大量的个人身份信息资源，对企业数据库形成事实上的拖库。

结论：

企业应采用多种技术手段保护 API 安全，降低安全风险。一是对 API 接口进行生命周期监控，二是健全账号认证机制和授权机制，三是实时监控 API 账号登录异常情况，四是执行API敏感数据保护策略，五是建立接口防爬虫防泄漏保护机制。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/小丑西瓜9/article/detail/416189