Cequence威胁研究团队发布了《2022年上半年API安全报告》（以下简称“《报告》”），《报告》显示三分之一的恶意请求针对未知、未管理和未受保护的API（影子API）。

　　API 安全风险1：

　　影子 API 滥用 （OWASP API9）

　　《报告》发现影子API滥用在2022年激增，在167亿恶意交易中，约有31%（即50亿）针对影子API，其为2022年上半年的最大威胁。

　　API 安全风险2：

　　API 滥用正确编码端点 （OWASP API10+）

　　《报告》显示，该威胁排名第二，有36亿个恶意请求，包括针对运动鞋或奢侈品的恶意购物 API 请求（30 亿）；恶意礼品卡检查（2.9亿）；创建虚假帐户（2.37亿）；键业务客户交互平台上的垃圾评论请求（3700 万）。

　　API 安全风险3：

　　凭证填充、影子API 和敏感数据泄露的“三位一体”

　　《报告》表示，这种API安全风险（1亿）也构成了重大威胁，其利用了多个 API 安全漏洞，例如用户身份验证中断（API2）、数据过度泄露（API3） 和资产管理不当（API9）。研究人员表示，这种组合证明攻击者正在对每个API的工作原理等进行详细分析。

　　API安全是重中之重

　　《报告》指出，API已成为业务的基石，企业应使API保护成为优先事项，并建议进行持续API风险评估以防止数据泄露、中断身份验证和编码错误。

　　对于开发人员，应对API的安全性进行良好的构建和设计，遵守API安全开发规范进行实施。对于管理人员，应使用API管理平台对API服务所面临的风险进行检测和防护。

　　永安在线长期致力于API安全的研究，其在《2022年Q2 API安全研究报告》给出了相关建议，企业除了已有的防御体系外，也需要针对性地构建API安全防护体系，其中风险情报是重要的组成部分，基于情报及早感知及时防御，从而保障企业及其用户的数据安全。

　　针对API面临的安全威胁，瑞数信息打造了API安全管控平台，其包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块，为API接口提供完整的安全管控方案。

　　如今API安全已成为提供API服务的企业之间以及企业内部都需要关注的一个安全问题，一旦没有很好的保护好提供服务的API，不仅会对用户的使用体验以及个人隐私带来威胁和风险，而且可能会使企业面临安全威胁和风险，API安全已成为重中之重。

更多信息可以来这里获取==>>电子技术应用-AET<<