近年来API攻击呈上升趋势,其主要攻击目标之一就是电商公司。从产品展示到处理发货,电商平台在所有客户端均使用了API。仅2021年数据显示,API攻击就增加了681%,所以电商平台的API安全至关重要!
什么是API?
API(Application Programming Interface)又称为应用编程接口。主要提供应用程序与开发人员以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
电商平台需要API
API可以将静态网站转变为完全可定制的无头商店,还能实现包括登录、产品目录、运输和订阅的各种功能。比如,帮助零售商和电商平台轻松处理产品列表和订单。
同时,API增强了客户体验。当发生购买行为时,订单处理、税收计算、装运支持等动作都在屏幕背后同时发生。API连接这些解耦的元素,并无缝共享数据。
API在电商中的主要优势
简化运营并确保无缝的客户参与;
有效的数据监控和分析;
支持与聊天机器人的通信;
将电商平台与第三方市场连接起来
API安全对电商至关重要
API便于企业使用和集成,尽管大多数API并非用于公众用途,但它可以访问所有敏感资产和信息。
当客户在网购时输入个人身份信息(PII),如电子邮件、密码、信用卡详细信息和电话号码等,同时还与他人共享了详细交易信息,例如奖金、余额和奖励,这就增加了不法分子窃取数据的机会。
企业应该围绕强大、持续的安全性进行设计和调整,来降低API暴露威胁。一旦安全测试不足或缺乏业务逻辑,将提升API安全风险。
导致API安全问题的重要因素
身份验证缺陷
许多API没有正确检查请求是否来自合法用户。攻击者通过在身份验证中发现的编码错误来提升权限,并进一步使用枚举技术破坏用户账户。
例如,电商平台与外部物流系统集成,以传递详细的运输信息。如果身份验证链不足,就会泄露用户个人信息。
自动攻击
随着API的广泛采用,对不安全API的自动攻击正在增加。攻击者不是利用API代码中的漏洞,而是通过业务逻辑缺陷进行攻击。
攻击者可能会将恶意脚本输入机器人,以大规模访问平台的产品详细信息,导致真实客户无法正常购物。例如,攻击者可以在几秒钟内抢夺高需求产品的全部库存。
影子和僵尸API
尽管如此,许多企业仍在努力区分真实交易和虚假交易,但还是会被无保护的影子API所蒙蔽。同样,僵尸API也是最常见的攻击方法,它可能包含恶意代码或可能暴露敏感数据或功能。
第三方API
电商业务与第三方集成,如运输和支付系统。由于第三方API很难管理,因此通常是攻击者针对的目标。
传统安全工具
大多数企业缺乏足够的防御能力来抵御不断变化的API风险,传统方法对其无效。
传统WAF或API网关需要更实时的能力来了解API活动的情况。例如,攻击者可以在高峰时段操纵折扣和促销API,而这些工具很难防止此类攻击。
电商的API安全最佳实践
电商安全的API威胁对零售商和客户具有潜在破坏性。因此,必须采取适当措施来解决。
API发现
了解内容。如果企业想保护不了解的内容,那么所有API(包括未记录的)的清单是必要的。
查找和清点。一个好的API安全解决方案提供强大的API发现功能,它自动清点所有API,包括僵尸和影子API。
确认关闭。在最后一个客户停止与已弃用的API集成后,请确保API已关闭。如果要在外部发布API文档,请确保其有效且经过测试,并且不会暴露漏洞。
API安全测试和渗透测试
在开发过程的早期阶段集成API安全,其中安全增强和漏洞管理是关键。企业可以使用API安全扫描器(例如无限API扫描器)进行流畅的漏洞扫描,并立即修补。
除了自动API扫描工具外,手动笔测试也是至关重要的,它帮助企业检测可能意识不到的错误配置。
正确的身份验证和授权
验证购买者身份并且只允许访问权限范围内的特定资源对于API安全性非常重要。常见方法有,OAuth 2.0、API密钥和基于令牌的身份验证。
限制API速率
API的调用量逐年递增,受攻击面也在增加。攻击者可以通过DDoS攻击使真实用户无法正常访问电商平台。
通过限制速率,限制来自大量系统资源的请求数量,在不影响性能的情况下,保障消费者的正常使用。
API行为和分析
查找API流量中的异常行为,区分恶意和正常的API流量有助于检测正在进行的攻击。
API行为和分析还突出显示系统不当行为和对服务的其他恶意破坏。通过分析流量元数据以查明攻击源,可以停止事件并修复问题。
保护电商网站的提示:
定期检查所有第三方集成和插件
帮助客户创建强大、独特的密码
只存储必要的客户数据
保持网站为最新状态
使用HTTPS保护网站
数据备份
