API安全测试清单：7个关键步骤

API是恶意攻击者的常见攻击载体。使用我们的API安全测试清单和最佳实践来保护您的组织及其数据。

作者：Dave Shackleford（Voodoo Security）、Michael Cobb
发布日期：2024年11月1日

API使应用程序能够交换和消费数据及服务。由于其能够访问组织的敏感数据，API成为恶意黑客和威胁行为者的诱人目标。组织必须保护其API，以保护企业资源以及使用API的其他应用程序和组织。

团队应进行API安全测试，以确保API在负载下保持可用。测试还必须确定API暴露的数据和资源的机密性、完整性和可用性。API安全测试应全面且持续，以便解决漏洞发现和修复问题，并增强对攻击者的抵御能力。测试应证明安全控制的有效性，并在必要时提供需要修复的领域的见解。组织应将API测试与OpenAPI规范对齐，以确保其完整和彻底。

API安全测试清单

以下最佳实践可帮助确保API安全测试计划足够彻底，以有效防范API安全风险。

1. 确定谁对测试和维护API安全负总责

许多团队参与API生命周期，项目在进展过程中会经历大量快速变化和迭代。重要的是指定一个人记录所有API，确保所有测试完成并采取行动。

随着对云服务和Web应用程序环境的日益重视，与过去相比，可能有更多的业务部门和其他应用程序所有者参与API安全治理。这使得有一个中央联系点变得更加重要。

2. 为安全测试预算时间和资源

安全测试需要时间和金钱，因此组织在启动新项目时需要考虑这些因素。威胁建模突出了需要缓解的潜在API风险和常见漏洞，但请注意，项目上线后维护和更新API测试的预算也是必要的。

请注意，由第三方提供商开发和维护的任何API可能随时更改。安全和应用程序团队应确保在规划和项目周期中考虑动态API测试。

3. 注册、分类并记录每个API的用途及其功能

记录API及其用途。这些信息有助于测试评估API是否可以处理可接受的操作和有效数据，以及不可接受的操作或无效数据。诸如OpenAPI规范、AsyncAPI和GraphQL Introspection等标准使人类和机器能够发现和理解API的响应和能力。许多API工具使用这些规范来加速API的开发生命周期。

4. 尽早运行测试并尽可能自动化

如果在开发生命周期的早期发现安全问题，每个人都可以节省时间和金钱。有许多API安全工具可用，无论是开源还是许可的，都可以集成到现有的工作流程和持续集成/持续交付管道中。具有模拟服务的工具消除了构建生产系统全规模复制的需要。

此外，确定谁将执行测试——开发人员、安全团队或外部渗透测试人员（如果内部缺乏技能）——以及何时运行测试。理想情况下，应在应用程序的每个构建上运行测试。许多API测试工具现在可以完全集成，以便按需进行持续或触发的测试。

5. 定义要运行的测试类型

对API安全评估进行以下测试：

• 无效输入：API的输入应被视为来自不受信任的源，并相应地进行清理和验证。模糊测试可用于向API发送随机数据，以查看其是否可以在不崩溃的情况下处理意外数据。
• 注入攻击：使用这些测试攻击来确保API拒绝尝试操纵后端数据库或在服务器上执行OS命令的请求，而不暴露任何敏感信息。
• 参数篡改：通过API请求发送的参数（如购物车中商品的价格）容易被攻击者更改。参数篡改检查API在处理参数之前是否验证和检查参数。
• 未处理的HTTP方法：使用所有八种HTTP方法发送请求，以确保不必要的