【iThome專訪】雲力橘子鎖定 OWASP 十大 API 風險，完整佈局檢測、監控與顧問服務

2020/01/02

多年前伴隨 Web Services 蓬勃興起，由 XML、SOAP、WSDL 和 UDDI 四大核心元件形成堅強技術後盾，造就電子商務熱潮。多年後的今天，隨著 JSON、RESTful 蔚為新寵，加上由 Swagger 規範 API 文件框架，讓大家的 API 皆能與世界接軌，使得 API 像是過去 Web 般如火如荼延燒，儼然成為數位創新的催化劑，影響範圍遍及各行各業。

但 API 猶如雙面刃，安全的 API 可稱職扮演創新樞紐，反觀不安全的 API，恐淪為駭客喜愛的攻擊目標，成了竊取個資或機敏資訊的新天地。為此 OWASP 於今年（2019）首度公佈「API Security Top 10」，揭露十個常見的 API 安全風險，讓所有企業或組織知所防範。

包含「無效認證與授權」在內，國內常面臨三大 API 風險

雲力橘子資深網路安全顧問陳臣瑩表示，其實在 OWASP Web Top 10 2017 初版，即列出兩個 API 相關風險，分別是名列第七的「API 攻擊防護不足」、第十的「API 未受防護」，意謂 OWASP 早已察覺 API 安全議題日趨嚴重，故於今年正式推發佈 API Security Top 10。

根據此次入選名單，陳臣瑩歸納臺灣最常觸犯的 API 風險有三大項，按照發生頻率來排序，依序是「A2：無效認證與授權」（Broken Authentication）、「A1：無效的對象層級授權」（Broken Object Level Authorization），及「A4：缺乏與存取速率的不足」（Lack of Resource and Rate Limiting）。

其中 A2 部份類似弱密碼、預設密碼概念，意指企業未做好身份認證管理，導致駭客有機會暫時或永久取得使用者 ID，在未經授權下進入後端服務，可能擅自修改設備參數、從事不當操作，甚至建立 Botnet 中繼站。

A1 意指駭客利用後臺權限控管的漏洞（初次通過身份驗證後，不需經過再次驗證即可調用其他資料），擅自修改為 001、002、003…等等用戶編號，佯裝為不同身份，恣意存取各個使用者的機敏資料。

至於 A4 代表 API 對客戶端請求的資源大小、數量未施加任何限制，可能導致 API 發佈過多封包、變相釀成 DDoS 攻擊，造成服務停擺。

雲力橘子資訊技術處處長何奕甫補充說，以常見的 A2、A1 等風險而論，淺顯易懂的說法分別是「可以輕易登入系統」、「可以輕易轉換權限」，假使兩項管控機制皆未實作完善，讓駭客可堂而皇之使用後端API 服務，將形成重大危害。前面提及擅改用戶編號、冒用他人身份，達到「水平提權」，有些厲害的駭客甚至可以做到「垂直提權」取得管理者身分，如假設某參數「0」代表一般使用者、「1」代表管理者，即可透過修改API參數之攻擊手法，從 0 躍升為 1，取得更高階權限，進而產生極大的資安危害風險，甚至造成破壞性；不管在金融、電商等應用場景，都曾出現過類似真實案例。

他提醒企業，透過弱點掃瞄、滲透測試、原碼檢測，甚至資安流程監控等服務，可找出潛在漏洞與風險，例如當使用者通過前端帳密驗證後，便如入無人之境直接呼叫 API功能、存取資料，一旦掌握此情況，便能立即於後端加入認證暨授權管理機制，適時化解危機。

資深顧問協助，從紛雜告警釐清事件真相

陳臣瑩認為，總的來說，要化解前述 API 安全隱憂，須做好三件事。首先從開發者角度，API 設計過程應遵循 OpenAPI 3.0、NIST SP 800-95 等國際標準，確保能寫出較安全的程式碼；假使遇到國際標準未定義到的部份，再搭配客製化開發。

假設是遵照國際標準產出的程式碼，建議連同 API 和前端程式架構（Web），一併接受原碼檢測，驗證究竟是否真的符合標準；至於客製化 API，建議委由有經驗的檢測人員或顧問扮演「駭客」或「破壞者」，發動滲透測試，檢視程式碼結構是否存在缺失。

第二件事，針對系統與網路架構方面，應部署諸如 WAF、IPS 等設備，以建立系統層級的防禦能力，於必要時抵擋惡意攻擊。第三件事，即是針對 Web 服務、API 服務建立監控機制，只要察覺異狀隨即發送警訊，或一併通知 SOC 或 SIEM 集中處理。

陳臣瑩重申，藉由開發、測試、監控等三段安全流程環環緊扣，便能輕易補強 AI、A2 或 A4 等常見漏洞。他進一步提醒，企業切記做好 API 日誌監控，繼而將日誌送交 SOC 或 SIEM 進行多面向整合性分析，如此即使面對因商業邏輯緣故所導致的漏洞、難借助一般方式檢測出來，依然可抓揪出異常跡象。

綜觀雲力橘子提供的 API 安全解決方案，何奕甫指出，首先可使用原碼檢測服務，針對企業開發完成的 API，即可借助該服務來檢視箇中漏洞；再者，如果企業的 API 服務已上線運行，可藉由雲力橘子提供的弱點掃描與滲透測試等服務項目，探查有無可供駭客利用的弱點。

除上述基本檢測服務外，雲力橘子還提供進階服務。其中包括 appGuard，它可為 App「加殼」，增加 App 遭破解的難度；另有 Smart Sensing，可隨時偵測App行為，是否正在遭受不正常的使用等。此外雲力橘子透過與 WAF 專業廠商合作，可協助用戶有效監測 Web 和 Web API 的安全性。

更重要的，畢竟產品或工具的主要功能在於產生告警，仍需借重資深顧問加以調校和簡化，才能快速準確地釐清核心問題，而雲力橘子顧問群擁有優於業界的專業度，多數都能勝任紅隊演練高階任務，而非只停留在一般常見的資安檢測、滲透測試層次。

總而言之，雲力橘子已針對日益險惡的 API 風險，備妥完整的檢測服務、監控方案，輔以資深顧問從旁收㪘與還原問題真相，足以為企業建立強大的 API 保護傘，確保數位創新過程不受侵擾。

iThome 專訪連結: https://www.ithome.com.tw/pr/135027