去年10月，來(lái)自美國(guó)德州大學(xué)奧斯汀分校和斯坦福大學(xué)的研究人員分析了各種知名web服務(wù)，并發(fā)現(xiàn)暴露給第三方開(kāi)發(fā)人員的接口存在重大漏洞。亞馬遜和PayPal的支付服務(wù)、Trillian即時(shí)通訊服務(wù)、Chase手機(jī)銀行服務(wù)和其他web應(yīng)用程序在它們的SSL（安全套接字層）協(xié)議部署中都存在漏洞，當(dāng)通過(guò)API訪問(wèn)時(shí)，這些應(yīng)用程序?qū)⒚媾R威脅。

　　其結(jié)果是，應(yīng)用程序可能被誘騙為允許攻擊者通過(guò)API訪問(wèn)客戶數(shù)據(jù)。研究人員在其報(bào)告中表示：“大多數(shù)這些漏洞的根本原因是底層SSL庫(kù)中API糟糕的設(shè)計(jì)。”

　　在2012年，API的問(wèn)題其實(shí)就已經(jīng)引起了一些關(guān)注。在11月份，安全研究人員Carlos Reventlov發(fā)現(xiàn)圖片分享服務(wù)Instagram中存在一個(gè)漏洞，該漏洞將允許中間人攻擊者訪問(wèn)或者刪除個(gè)人的照片。在4月份，微軟研究所發(fā)現(xiàn)Facebook、Google ID和PayPal的單點(diǎn)登陸服務(wù)中使用的邏輯存在嚴(yán)重漏洞。

　　Solutionary的安全工程技術(shù)研究小組（SERT）的威脅分析師Christopher Barber表示，這個(gè)問(wèn)題的解決辦法并不是什么新技術(shù)，而是在于對(duì)細(xì)節(jié)的關(guān)注。

　　Barber表示，“部署水平并沒(méi)有達(dá)到我們期望的水平，非常參差不齊，在軟件開(kāi)發(fā)中，你必須在某個(gè)時(shí)間期限內(nèi)實(shí)現(xiàn)某些功能，而安全總是被拋在腦后。”

　　按時(shí)完成Web應(yīng)用程序的壓力，加上部署SSL的復(fù)雜性，使創(chuàng)造安全的API非常具有挑戰(zhàn)性。來(lái)自這兩所大學(xué)的研究人員建議開(kāi)發(fā)人員應(yīng)該更加明確應(yīng)該如何正確地使用其API和SSL庫(kù)。此外，云服務(wù)應(yīng)該定期對(duì)其代碼進(jìn)行黑盒測(cè)試或者模糊測(cè)試，來(lái)看看當(dāng)攻擊者試圖攻擊時(shí)應(yīng)用程序的行為。

　　幫助客戶管理API的公司Layer 7首席技術(shù)官K. Scott Morrison表示，就其性質(zhì)而言，API給web應(yīng)用程序帶來(lái)更大的攻擊風(fēng)險(xiǎn)。“對(duì)于攻擊者而言，API是非常有指示性的工具，能夠告訴你應(yīng)用程序如何運(yùn)行，”他表示，“它具有自我描述性，能夠?yàn)閼?yīng)用程序提供路線圖。”

　　除了正確加密和審計(jì)應(yīng)用程序外，開(kāi)發(fā)人員還需要考慮身份問(wèn)題，誰(shuí)在訪問(wèn)API以及他們被允許訪問(wèn)哪些類(lèi)型的數(shù)據(jù)。讓問(wèn)題更加復(fù)雜的是，大部分時(shí)候是應(yīng)用程序，而不是特定的人在訪問(wèn)數(shù)據(jù)。

　　最后，很多web開(kāi)發(fā)人員類(lèi)似黑客的態(tài)度并不是云服務(wù)供應(yīng)商及其客戶對(duì)處理API應(yīng)該采取的方法。Morrison補(bǔ)充說(shuō)，“我們做了很多重新使用的工作，我們的一些壞習(xí)慣也被帶入API世界。不幸的是，這些習(xí)慣在網(wǎng)絡(luò)世界在API世界將會(huì)帶來(lái)非常破壞性的影響。”