近年来 API 攻击呈上升趋势,其主要攻击目标之一就是电商公司。从产品展示到处理发货,电商平台在所有客户端均使用了 API。仅 2021 年数据显示,API 攻击就增加了 681%,所以电商平台的 API 安全至关重要!
什么是 API?
API(Application Programming Interface)又称为应用编程接口。主要提供应用程序与开发人员以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
电商平台需要 API
API 可以将静态网站转变为完全可定制的无头商店,还能实现包括登录、产品目录、运输和订阅的各种功能。比如,帮助零售商和电商平台轻松处理产品列表和订单。
同时,API 增强了客户体验。当发生购买行为时,订单处理、税收计算、装运支持等动作都在屏幕背后同时发生。API 连接这些解耦的元素,并无缝共享数据。
API 在电商中的主要优势
简化运营并确保无缝的客户参与;
有效的数据监控和分析;
支持与聊天机器人的通信;
将电商平台与第三方市场连接起来
API 安全对电商至关重要稳定的
API 便于企业使用和集成,尽管大多数 API 并非用于公众用途,但它可以访问所有敏感资产和信息。
当客户在网购时输入个人身份信息(PII),如电子邮件、密码、信用卡详细信息和电话号码等,同时还与他人共享了详细交易信息,例如奖金、余额和奖励,这就增加了不法分子窃取数据的机会。
企业应该围绕强大、持续的安全性进行设计和调整,来降低 API 暴露威胁。一旦安全测试不足或缺乏业务逻辑,将提升 API 安全风险。
导致 API 安全问题的重要因素
身份验证缺陷
许多 API 没有正确检查请求是否来自合法用户。攻击者通过在身份验证中发现的编码错误来提升权限,并进一步使用枚举技术破坏用户账户。
例如,电商平台与外部物流系统集成,以传递详细的运输信息。如果身份验证链不足,就会泄露用户个人信息。
自动攻击
随着 API 的广泛采用,对不安全 API 的自动攻击正在增加。攻击者不是利用 API 代码中的漏洞,而是通过业务逻辑缺陷进行攻击。
攻击者可能会将恶意脚本输入机器人,以大规模访问平台的产品详细信息,导致真实客户无法正常购物。例如,攻击者可以在几秒钟内抢夺高需求产品的全部库存。
影子和僵尸 API
尽管如此,许多企业仍在努力区分真实交易和虚假交易,但还是会被无保护的影子 API 所蒙蔽。同样,僵尸 API 也是最常见的攻击方法,它可能包含恶意代码或可能暴露敏感数据或功能。
第三方 API
电商业务与第三方集成,如运输和支付系统。由于第三方 API 很难管理,因此通常是攻击者针对的目标。
传统安全工具
大多数企业缺乏足够的防御能力来抵御不断变化的 API 风险,传统方法对其无效。
传统 WAF 或 API 网关需要更实时的能力来了解 API 活动的情况。例如,攻击者可以在高峰时段操纵折扣和促销 API,而这些工具很难防止此类攻击。
电商的 API 安全最佳实践
电商安全的 API 威胁对零售商和客户具有潜在破坏性。因此,必须采取适当措施来解决。
API 发现
了解内容。如果企业想保护不了解的内容,那么所有 API(包括未记录的)的清单是必要的。
查找和清点。一个好的 API 安全解决方案提供强大的 API 发现功能,它自动清点所有 API,包括僵尸和影子 API。
确认关闭。在最后一个客户停止与已弃用的 API 集成后,请确保 API 已关闭。如果要在外部发布 API 文档,请确保其有效且经过测试,并且不会暴露漏洞。
API 安全测试和渗透测试
在开发过程的早期阶段集成 API 安全,其中安全增强和漏洞管理是关键。企业可以使用 API 安全扫描器(例如无限 API 扫描器)进行流畅的漏洞扫描,并立即修补。
除了自动 API 扫描工具外,手动笔测试也是至关重要的,它帮助企业检测可能意识不到的错误配置。
正确的身份验证和授权
验证购买者身份并且只允许访问权限范围内的特定资源对于 API 安全性非常重要。常见方法有,OAuth 2.0、API 密钥和基于令牌的身份验证。
限制 API 速率
API 的调用量逐年递增,受攻击面也在增加。攻击者可以通过 DDoS 攻击使真实用户无法正常访问电商平台。
通过限制速率,限制来自大量系统资源的请求数量,在不影响性能的情况下,保障消费者的正常使用。
API 行为和分析
查找 API 流量中的异常行为,区分恶意和正常的 API 流量有助于检测正在进行的攻击。
API 行为和分析还突出显示系统不当行为和对服务的其他恶意破坏。通过分析流量元数据以查明攻击源,可以停止事件并修复问题。
保护电商网站的提示:
定期检查所有第三方集成和插件
帮助客户创建强大、独特的密码
只存储必要的客户数据
保持网站为最新状态
使用 HTTPS 保护网站
数据备份
