作者简介:王文君,OWASP中国上海区域负责人,上海观安网络安全产品线总经理,曾在HP担任过应用安全架构师,出版过《Web应用安全威胁与防治》和《Android应用程序安全》,拥有CISSP、CSSLP、CDPSE认证。
API全称是应用程序接口(ApplicationProgrammingInterface),又称为应用编程接口,就是软件系统不同组成部分衔接的约定。它的主要目的是提供应用程序与开发人员以访问一组功能的能力,而又无需访问源码,或理解内部工作机制的细节,降低耦合度,提高系统的维护性和扩展性。由于近年来软件的规模日益庞大,常常需要把复杂的系统划分成小的组成部分,因此编程接口的设计十分重要。
据数世咨询年《API安全研究报告》显示,API逐渐形成了自身的技术和经济生态,在全球范围内被采纳,是公认的数字时代的价值链接基础。API已经成为网络应用流量最重要的出入口,通过攻击API来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。年Gartner《API安全性:保护您的API免受攻击和数据泄露》也表示,到年,API将成为网络攻击者利用最频繁的载体,而通过攻击API可以非授权使用企业的应用数据。
随着针对API的攻击日趋严重,OWASP组织推出了OWASPAPISecurityTOP10项目,对目前API最受