API作为数据传输流转的重要方式，越来越多地用于提供数据或数据相关服务，在政府、电信、金融、医疗、交通等诸多领域得到广泛应用。由于API方式灵活、实时性好，越来越多涉及包含敏感信息、重要数据在内的数据传输、操作，乃至业务策略制定等环节都会通过API来实现。伴随传输交互数据量飞速增长，API安全管理的难度也随之加大。近年来，国内外已发生多起由于API漏洞被恶意攻击或安全管理疏漏导致的数据安全事件，对相关组织和用户权益造成严重损害，逐渐引起各方关注。

API的初衷是使得数据的开放和使用变得更加简单、快捷，而各个API的自身安全建设情况参差不齐，将API安全引入开发、测试、生产、下线的全生命周期中是安全团队亟须考虑的问题。建设有效的整体API防护体系，落实安全策略对API安全建设而言尤为重要。API数据共享安全威胁包含外部和内部两个方面的因素。

1.外部威胁因素

从近年API安全态势可以看出，API技术被应用于各种复杂环境，其背后的数据一方面为组织带来商机与便利，另一方面也为数据安全保障工作带来巨大压力。特别是在开放场景下，API的应用、部署面向个人、企业、组织等不同用户主体，面临着外部用户群体庞大、性质复杂、需求不一等诸多挑战，需要时刻警惕外部安全威胁。

一是API自身漏洞导致数据被非法获取。在API的开发、部署过程中不可避免会产生安全漏洞，这些漏洞通常存在于通信协议、请求方式、请求参数和响应参数等环节。不法分子可能利用API漏洞（如缺少身份认证、水平越权漏洞、垂直越权漏洞等）窃取用户信息和企业核心数据。例如在开发过程中使用非POST请求方式、Cookie传输密码等操作登录接口，存在API鉴权信息暴露风险，可能使得API数据被非法调用或导致数据泄露。

二是API成为外部网络攻击的重要目标。API是信息系统与外部交互的主要渠道，也是外部网络攻击的主要对象之一。针对API的常见网络攻击包括重放攻击、DDoS攻击、注入攻击、Cookie篡改、中间人攻击、内容篡改、参数篡改等。通过上述攻击，不法分子不仅可以达到消耗系统资源、中断服务的目的，还可以通过逆向工程，掌握API应用、部署情况，并监听未加密数据传输，窃取用户数据。

三是网络爬虫通过API爬取大量数据。“网络爬虫”能够在短时间内爬取目标应用上的大量数据，常表现为在某时间段内高频率、大批量进行数据访问，具有爬取效率高、获取数据量大等特点。通过开放API对HTML进行抓取是网络爬虫最简单直接的实现方式之一。不法分子通常采用假UA头和假IP地址隐藏身份，一旦获取组织内部账户，可能利用网络爬虫获取该账号权限内的所有数据。如果存在水平越权和垂直越权等漏洞，在缺少有效的权限管理机制的情况下，不法分子可以通过掌握的参数特征构造请求参数进行遍历，导致数据被全量窃取。此外，移动应用软件客户端数据多以JSON形式传输，解析更加简单，反爬虫能力更弱，更易受到网络爬虫的威胁。

四是API请求参数易被非法篡改。不法分子可通过篡改API请求参数，结合其他信息匹配映射关系，达到窃取数据的目的。以实名身份验证过程为例，其当用户在用户端上传身份证照片后，身份识别API提取信息并输出姓名和身份证号码，再传输至公安机关进行核验，并得到认证结果。在此过程中，不法分子可通过修改身份识别API请求参数中的姓名、身份证号码组合，通过遍历的方式获取姓名与身份证号码的正确组合。可被篡改的API参数通常有姓名、身份证号码、账号、员工ID等。此外，企业员工ID与职级划分通常有一定关联性，可与员工其他信息形成映射关系，为API参数篡改留下可乘之机。

2.内部脆弱性因素

在应对外部威胁的同时，API也面临许多来自内部的风险挑战。一方面，传统安全通常是通过部署防火墙、WAF、IPS等安全产品，将组织内部与外部相隔离，达到防御外部非法访问或攻击的目的，但是这种安全防护模式建立在威胁均来自组织外部的假设前提下，无法解决内部隐患。另一方面，API类型和数量随着业务发展而扩张，通常在设计初期未进行整体规划，缺乏统一规范，尚未形成体系化的安全管理机制。从内部脆弱性来看，影响API安全的因素主要包括以下方面。

一是身份认证机制。身份认证是保障API数据安全的第一道防线。如果企业将未设置身份认证的内网API接口或端口开放到公网，可能导致数据被未授权用户访问、调用、篡改、下载。不同于门户网站等可以公开披露的数据，部分未设置身份认证机制的接口背后涉及企业核心数据，暴露与公开核心数据易引发严重安全事件。另一方面，身份认证机制可能存在单因素认证、无密码强度要求、密码明文传输等安全隐患。在单因素身份验证的前提下，如果密码强度不足，身份认证机制将面临暴力破解、撞库、钓鱼、社会工程学攻击等威胁。如果未对密码进行加密，不法分子则可能通过中间人攻击，获取认证信息。

二是访问授权机制。访问授权机制是保障API数据安全的第二道防线。用户通过身份认证即可进入访问授权环节，此环节决定用户是否有权调用该接口进行数据访问。系统在认证用户身份之后，会根据权限控制表或权限控制矩阵判断该用户的数据操作权限。常见的访问权限管控策略有三种：基于角色的授权、基于属性的授权、基于访问控制表的授权。访问授权机制风险通常表现为用户权限大于其实际所需权限，从而使该用户可以接触到原本无权访问的数据。导致这一风险的常见因素包括授权策略不恰当、授权有效期过长、未及时收回权限等。

三是数据脱敏策略。除了为不同的业务需求方提供数据传输，为前端界面展示提供数据支持也是API的重要功能之一。API数据脱敏策略通常可分为前端脱敏和后端脱敏，前者指数据被API传输至前端后再进行脱敏处理；后者则相反，API在后端完成脱敏处理，再将已脱敏数据传输至前端。如果未在后端对个人敏感信息等数据进行脱敏处理，且未加密便进行传输，一旦数据被截获、破解，将对组织、公民个人权益造成严重影响。此外，未脱敏数据在传输至前端时如被接收方的终端缓存，也可能导致敏感数据暴露。

四是返回数据筛选机制。如果API缺乏有效的返回数据筛选机制，可能由于返回数据类型过多、数据量过大等原因形成安全隐患。首先，部分API设计初期未根据业务进行合理细分，未建立单一、定制化接口，使得接口臃肿、数据暴露面过大。其次，在安全规范欠缺或安全需求不明确的情况下，API开发人员可能以提升速度为目的，在设计过程中忽视后端服务器返回数据的筛选策略，导致查询接口会返回符合条件的多个数据类型，大量数据通过接口传输至前端并进行缓存。如果仅依赖于前端进行数据筛选，不法分子可能通过调取前端缓存获取大量未经筛选的数据。

五是异常行为监测。异常访问行为通常指在非工作时间频繁访问、访问频次超出需要、大量敏感信息数据下载等非正常访问行为。即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法避免拥有合法权限的用户进行异常数据查询、修改、下载等操作，此类访问行为往往未超出账号权限，易被管理者忽视。异常访问行为通常与可接触敏感数据岗位或者高权限岗位密切相关，如负责管理客户信息的员工可能通过接口获取客户隐私信息并出售谋利；即将离职的高层管理人员可能将大量组织机密和敏感信息带走等。企业必须高度重视可能由内部人员引发的数据安全威胁。

六是特权账号管理。从数据使用的角度来说，特权账号指系统内具有敏感数据读写权限等高级权限的账号，涉及操作系统、应用软件、企业自研系统、网络设备、安全系统、日常运维等诸多方面，常见的特权账号有admin、root、export等。除企业内部运维管理人员外，外包的第三方服务人员、临时获得权限的设备原厂工程人员等也可能拥有特权账号。多数特权账号可通过API进行访问，居心不良者可能利用特权账号非法查看、篡改、下载敏感数据。此外，部分企业出于提升开发、运维速度的考虑会在团队内共享账号，并允许不同的开发、运维人员从各自终端登录并操作，一旦发生数据安全事件，难以快速定位责任主体。

七是第三方供应商管理。随着数据共享应用场景增多，第三方调用API访问企业数据成为企业的安全短板。尤其对于涉及个人敏感信息或重要数据的API，如果企业忽视对第三方进行风险评估和有效管理、缺少对其数据安全防护能力的审核，一旦第三方机构存在安全隐患或人员有不法企图，则可能发生数据被篡改、泄露甚至非法贩卖等安全事件，对企业数据安全、社会形象乃至经济利益造成损失。

综上，API是数据安全访问的关键路径，不安全的API服务和使用会导致用户面临机密性、完整性、可用性等多方面的安全问题。用户在选择解决方案时也需要综合考虑大量API的改造成本和周期问题。