現代應用大量仰賴 API 作為服務互動的主幹,因此 API 的資安防護已是企業級系統設計的基本要求。若缺乏完善的防護措施,API 將可能成為駭客入侵、資料外洩與服務中斷的入口。本文將介紹常見的 API 攻擊方式、平台弱點,以及企業在設計與營運 API 時應注意的資安考量。
常見攻擊類型
根據我們的經驗,常見的 API 大致可分為兩種攻擊類型:
- API 濫用(Abuse / Mass scraping)
使用者或自動化程式大量呼叫 API 以取得資料或耗盡資源(ex. 大量下載、暴力嘗試 enumeration)。 - API 攻擊(Exploitation / Injection)
對 API 送入惡意輸入(如 SQL Injection、NoSQL injection、command injection),或利用邏輯漏洞取得不當權限或系統存取。
前來請求我們服務的客戶,大抵都遇過此兩類的攻擊,例如將金流的 api 運用自動化機器人,測試信用卡能否使用。又或者透過列舉嘗試攻擊 api 端點欲取得不當權限。
常見弱點與案例
框架層面的弱點
以 Spring Framework 為例,過去曾出現多個高風險漏洞(如 CVE-2018-1260、CVE-2022-22965),提醒企業需定期更新框架與依賴套件,避免被已知漏洞攻擊。
再以 .NET Framework 為例,CVE-2017-0247, CVE-2022-41089 等,可以利用漏洞執行遠端程式碼。這些漏洞皆主要影響 Web API 與雲端部署環境等。
OWASP API Top 10 2019 對應弱點
- A1 — 無效的對象層級授權(Broken Object Level Authorization)
攻擊者僅需修改參數(如用戶 ID)即可存取他人資料,甚至達到「水平或垂直提權」。 - A2 — 無效認證與授權(Broken Authentication)
因弱密碼、預設帳號或認證機制設計不良,攻擊者可輕易取得用戶或管理者身份。 - A4 — 缺乏資源與速率限制(Lack of Resource & Rate Limiting)
未限制 API 請求數量,導致 DDoS 或大量爬取資料的風險。 - A10 — 記錄與監控不足(Insufficient Logging & Monitoring)
若缺乏完善的日誌與偵測機制,攻擊行為難以及時發現並處理。
防護策略
- 認證與授權管理
- 使用 OAuth2 / OpenID Connect 等標準。
- 實施強密碼與多因素認證。
- 對敏感 API 加入額外授權檢查。
- 速率限制與資源控管
- 在 API Gateway 實作限流策略。
- 加入防爬蟲與異常流量檢測。
- 輸入驗證與資料保護
- 採用參數化查詢,避免 SQL Injection。
- API 僅回傳必要欄位,避免過度暴露資訊。
- 全面啟用 TLS 1.2 以上版本,確保傳輸加密。
- 監控與事件回應
- 保留完整 API 使用日誌至少 180 天。
- 建立異常行為偵測機制(如大量 401/403、過量下載)。
- 制定事件回應流程,確保能快速偵測、隔離與修復。
使用行為分析的價值
透過 API 使用異常分析,企業能更快發現潛在攻擊:
- 使用總量分析(TopN):識別異常高流量的用戶或 IP。
- 身份與下載資料比對:檢測敏感資料被過度存取。
- 使用頻率分析:辨識暴力攻擊或自動化爬蟲行為。
- 錯誤行為探勘(Error Handling Mining):觀察是否有惡意嘗試觸發系統錯誤。
這些資訊不僅能協助偵測威脅,也能成為改善資安策略的重要依據。
結語
API 是企業數位服務的關鍵基礎,但同時也潛藏資安風險。從認證授權、速率限制、輸入驗證,到日誌監控與異常分析,每一層防護都缺一不可。唯有將 API 安全納入系統設計與營運流程,並持續檢測與改善,才能在數位化競爭中確保服務的穩定與信任。
玖駿資訊股份有限公司 