伴隨云計(jì)算、大數(shù)據(jù)、人工智能等技術(shù)的蓬勃發(fā)展，移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)產(chǎn)業(yè)加速創(chuàng)新，移動(dòng)設(shè)備持有量不斷增加，Web應(yīng)用、移動(dòng)應(yīng)用已融入生產(chǎn)生活的各個(gè)領(lǐng)域。在這一過程中，應(yīng)用程序接口（Application Programming Interfaces，簡稱API）作為數(shù)據(jù)傳輸流轉(zhuǎn)的重要通道發(fā)揮著舉足輕重的作用。

　　API技術(shù)不僅是企業(yè)與客戶溝通的橋梁，還承擔(dān)著不同復(fù)雜系統(tǒng)、組織機(jī)構(gòu)之間數(shù)據(jù)交互、傳輸?shù)闹厝?。許多大公司，尤其是那些擁有大量在線業(yè)務(wù)的公司，在其基礎(chǔ)架構(gòu)中都嵌入了數(shù)百，甚至數(shù)千個(gè)API。

　　然而，在API技術(shù)帶來積極作用的同時(shí)，與其相關(guān)的數(shù)據(jù)安全問題也日益凸顯。如今，API已成為攻擊者最喜歡的目標(biāo)之一，他們能夠破壞API，并將這些漏洞用于新目的，例如數(shù)據(jù)泄露或進(jìn)一步滲透到目標(biāo)網(wǎng)絡(luò)中。

　　根據(jù)網(wǎng)絡(luò)安全公司Akamai的安全研究，近75%的現(xiàn)代憑證攻擊都是針對(duì)易受攻擊的API。更糟糕的是，問題正變得越來越嚴(yán)重。Gartner研究報(bào)告顯示，到2022年，涉及API的漏洞將成為所有網(wǎng)絡(luò)安全類別中最常受到攻擊的媒介。

　　10大主流API檢測工具

　　API檢測作為一種用程序或工具來發(fā)送數(shù)據(jù)，同時(shí)驗(yàn)收系統(tǒng)返回值的方法，是實(shí)現(xiàn)持續(xù)集成，并保持DevOps實(shí)踐的重要組成部分。一些API檢測工具旨在執(zhí)行單一功能，例如映射特定Docker API配置不當(dāng)?shù)脑?；其他一些工具則對(duì)整個(gè)網(wǎng)絡(luò)采取更全面的方法，幫助企業(yè)識(shí)別錯(cuò)誤、漏洞和過多的權(quán)限。

　　下面就為大家介紹6款主流的商業(yè)API檢測平臺(tái)，以及4款免費(fèi)或低成本的開源工具。

　　商業(yè)API檢測工具和平臺(tái)

　　01

　　APIsec

　　APIsec平臺(tái)就像一個(gè)針對(duì)API的滲透工具，可以在開發(fā)階段部署，同時(shí)對(duì)API進(jìn)行編程。該平臺(tái)只需幾分鐘即可完成對(duì)正在構(gòu)建應(yīng)用程序的全面掃描，而且其結(jié)果完全可與過去需要數(shù)天或數(shù)周才能完成的老式滲透測試相媲美。此外，盡管很多工具都可以掃描腳本注入等典型攻擊的常見漏洞，但APIsec會(huì)對(duì)目標(biāo)API的各個(gè)方面進(jìn)行壓力測試，以確保從核心網(wǎng)絡(luò)到各個(gè)端點(diǎn)都能免受API代碼中漏洞的影響。

　　02

　　AppKnox

　　AppKnox能夠檢測所有可能導(dǎo)致API中斷或被破壞的常見問題，例如HTTP請(qǐng)求中的命令注入漏洞、跨站點(diǎn)跟蹤和SQL注入漏洞等。這包括對(duì)Web服務(wù)器、數(shù)據(jù)庫和服務(wù)器上所有與API交互的組件完整性分析。AppKnox先通過掃描定位API，用戶再選擇提交哪些API進(jìn)行進(jìn)一步檢測，最后再將結(jié)果提交給安全研究人員進(jìn)行高級(jí)分析，這一過程通常需要三到五天。

　　03

　　Data Theorem API Secure

　　Data Theorem API Secure平臺(tái)旨在適應(yīng)任何持續(xù)集成和持續(xù)交付/部署（CI/CD）環(huán)境，以在開發(fā)的每個(gè)階段和生產(chǎn)環(huán)境中為API提供持續(xù)的安全性。其分析器引擎不斷在網(wǎng)絡(luò)中搜索新的API，并可以快速識(shí)別未經(jīng)授權(quán)的API或?qū)儆诮M織“影子IT”（shadow IT）部分的API。

　　該分析器引擎能夠不斷學(xué)習(xí)有關(guān)API的最新漏洞，并不斷檢測受保護(hù)的資產(chǎn)。它適用于本地和云環(huán)境，以確保任何API都不會(huì)淪為最新威脅的受害者。為了保持CI/CD管道順暢，Data Theorem API Secure還提供自動(dòng)修復(fù)能力，無需人工干預(yù)。

　　04

　　Postman

　　Postman作為構(gòu)建安全API的完整協(xié)作平臺(tái)，能夠被數(shù)百萬在Windows、Linux和iOS環(huán)境中工作的開發(fā)人員使用。Postman為開發(fā)人員提供一套完整的API工具，以便在設(shè)計(jì)新API時(shí)使用，它還為企業(yè)或組織的后續(xù)代碼提供安全存儲(chǔ)庫，以確保新API從一開始就保持嚴(yán)格的安全性和組織標(biāo)準(zhǔn)。

　　當(dāng)應(yīng)用程序代碼偏離企業(yè)或組織的安全模板或包含潛在漏洞時(shí)，Postman還可以提供安全警告。這樣，問題就可以在API進(jìn)入生產(chǎn)環(huán)境之前得到解決。更為關(guān)鍵的是，如果企業(yè)或組織不想編寫代碼，也可以通過Postman進(jìn)行API測試。也就是說，對(duì)于那些不想在集成開發(fā)環(huán)境中使用代碼的初學(xué)者來說，Postman是其進(jìn)行API檢測的最佳選擇之一。

　　05

　　Smartbear ReadyAPI

　　Smartbear ReadyAPI平臺(tái)可以導(dǎo)入幾乎任何規(guī)范或模式，以使用最流行的協(xié)議檢測API。大體來說，ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等，并且可以在API上線之前就在從開發(fā)到質(zhì)量保證的任何環(huán)境中運(yùn)行。ReadyAPI可以通過單擊執(zhí)行API安全分析，并支持其他關(guān)鍵功能，例如查看API處理意外負(fù)載或使用量突然激增的能力。它還可以記錄實(shí)時(shí)API流量，并進(jìn)行獨(dú)特環(huán)境的配置。

　　06

　　Synopsis API Scanner

　　Synopsis API Scanner除了安全測試之外，還將模糊測試作為其深度掃描和測試套件的一部分。Synopsis API Scanner模糊測試引擎向API發(fā)送數(shù)以千計(jì)的意外、無效或隨機(jī)輸入，以查看它們的行為方式，或者檢測它們在遇到諸如非常大的數(shù)字或奇數(shù)命令之類的事情時(shí)是否會(huì)崩潰。

　　Synopsis API Scanner還繪制了整個(gè)API的所有路徑和邏輯，包括適用的所有端點(diǎn)、參數(shù)、身份驗(yàn)證和規(guī)范。這讓開發(fā)人員能夠清楚地了解API可以執(zhí)行哪些功能。此外，它還清楚地說明了為什么API可能會(huì)受到意外行為或安全漏洞的影響。

　　開源API檢測工具

　　雖然開源工具通常無法提供與商業(yè)產(chǎn)品相同的支持服務(wù)，但因其免費(fèi)和易用，受到用戶的廣泛認(rèn)可，有經(jīng)驗(yàn)的開發(fā)人員可以輕松地部署，以支持或提高其API的安全性。根據(jù)開源社區(qū)數(shù)據(jù)，以下是一些較受歡迎的產(chǎn)品。

　　07

　　Astra

　　Astra主要專注于表述性狀態(tài)傳遞（REST）API，可以自動(dòng)檢測并測試登錄&注銷功能（認(rèn)證API），因此任何人都可以輕松將其集成到CI/CD管道中，并在開發(fā)周期的早期階段幫助檢測及修復(fù)安全漏洞。不過，Astra針對(duì)REST API的滲透測試則比較難實(shí)現(xiàn)，因?yàn)樗鼈兘?jīng)常不斷變化。鑒于REST架構(gòu)強(qiáng)調(diào)組件之間交互的可擴(kuò)展性，隨著時(shí)間的推移保持REST API的安全性可能更具挑戰(zhàn)性。

　　08

　　crAPI

　　crAPI工具名字取得很糟糕，但它有效地執(zhí)行了作為API包裝器的功能。它是少數(shù)可以連接到目標(biāo)系統(tǒng)，并為根客戶端的默認(rèn)處理程序集提供基本路徑的包裝器之一。crAPI無需創(chuàng)建任何新連接即可完成此操作，這使得高級(jí)API開發(fā)人員可以節(jié)省大量時(shí)間。

　　09

　　Apache JMeter

　　Apache JMeter用Java編寫，起初是作為Web應(yīng)用程序的負(fù)載測試器，最近幾乎可用于任何應(yīng)用程序、程序或API。它可以檢測靜態(tài)或動(dòng)態(tài)資源的性能，也可以生成大量真實(shí)流量的模擬負(fù)載，以便開發(fā)人員了解API在壓力下的表現(xiàn)。

　　10

　　Taurus

　　Taurus提供一種將獨(dú)立API檢測程序轉(zhuǎn)變?yōu)檫B續(xù)測試的簡單方法。Taurus操作起來很簡單，企業(yè)或組織只需安裝它，創(chuàng)建一個(gè)配置文件就能讓檢測工具發(fā)揮作用。企業(yè)或組織還可以通過Taurus找到生成交互式報(bào)告的方法，以及創(chuàng)建更復(fù)雜的場景，設(shè)置標(biāo)準(zhǔn)以便企業(yè)或組織立即修復(fù)發(fā)現(xiàn)的問題。

　　總體來說，商業(yè)工具會(huì)提供更多的支持選項(xiàng)，可以通過云或作為一項(xiàng)服務(wù)進(jìn)行遠(yuǎn)程部署。不過，一些開源工具的表現(xiàn)同樣出色，得到了用戶社區(qū)的廣泛支持。企業(yè)可以根據(jù)自身需求、IT團(tuán)隊(duì)的安全專業(yè)能力和預(yù)算進(jìn)行抉擇。