去年10月，來自美國德州大學(xué)奧斯汀分校和斯坦福大學(xué)的研究人員分析了各種知名web服務(wù)，并發(fā)現(xiàn)暴露給第三方開發(fā)人員的接口存在重大漏洞。亞馬遜和PayPal的支付服務(wù)、Trillian即時通訊服務(wù)、Chase手機(jī)銀行服務(wù)和其他web應(yīng)用程序在它們的SSL（安全套接字層）協(xié)議部署中都存在漏洞，當(dāng)通過API訪問時，這些應(yīng)用程序?qū)⒚媾R威脅。

　　其結(jié)果是，應(yīng)用程序可能被誘騙為允許攻擊者通過API訪問客戶數(shù)據(jù)。研究人員在其報告中表示：“大多數(shù)這些漏洞的根本原因是底層SSL庫中API糟糕的設(shè)計。”

　　在2012年，API的問題其實就已經(jīng)引起了一些關(guān)注。在11月份，安全研究人員Carlos Reventlov發(fā)現(xiàn)圖片分享服務(wù)Instagram中存在一個漏洞，該漏洞將允許中間人攻擊者訪問或者刪除個人的照片。在4月份，微軟研究所發(fā)現(xiàn)Facebook、Google ID和PayPal的單點登陸服務(wù)中使用的邏輯存在嚴(yán)重漏洞。

　　Solutionary的安全工程技術(shù)研究小組（SERT）的威脅分析師Christopher Barber表示，這個問題的解決辦法并不是什么新技術(shù)，而是在于對細(xì)節(jié)的關(guān)注。

　　Barber表示，“部署水平并沒有達(dá)到我們期望的水平，非常參差不齊，在軟件開發(fā)中，你必須在某個時間期限內(nèi)實現(xiàn)某些功能，而安全總是被拋在腦后。”

　　按時完成Web應(yīng)用程序的壓力，加上部署SSL的復(fù)雜性，使創(chuàng)造安全的API非常具有挑戰(zhàn)性。來自這兩所大學(xué)的研究人員建議開發(fā)人員應(yīng)該更加明確應(yīng)該如何正確地使用其API和SSL庫。此外，云服務(wù)應(yīng)該定期對其代碼進(jìn)行黑盒測試或者模糊測試，來看看當(dāng)攻擊者試圖攻擊時應(yīng)用程序的行為。

　　幫助客戶管理API的公司Layer 7首席技術(shù)官K. Scott Morrison表示，就其性質(zhì)而言，API給web應(yīng)用程序帶來更大的攻擊風(fēng)險。“對于攻擊者而言，API是非常有指示性的工具，能夠告訴你應(yīng)用程序如何運(yùn)行，”他表示，“它具有自我描述性，能夠為應(yīng)用程序提供路線圖。”

　　除了正確加密和審計應(yīng)用程序外，開發(fā)人員還需要考慮身份問題，誰在訪問API以及他們被允許訪問哪些類型的數(shù)據(jù)。讓問題更加復(fù)雜的是，大部分時候是應(yīng)用程序，而不是特定的人在訪問數(shù)據(jù)。

　　最后，很多web開發(fā)人員類似黑客的態(tài)度并不是云服務(wù)供應(yīng)商及其客戶對處理API應(yīng)該采取的方法。Morrison補(bǔ)充說，“我們做了很多重新使用的工作，我們的一些壞習(xí)慣也被帶入API世界。不幸的是，這些習(xí)慣在網(wǎng)絡(luò)世界在API世界將會帶來非常破壞性的影響。”