去年10月，來自美國德州大學奧斯汀分校和斯坦福大學的研究人員分析了各種知名web服務(wù)，并發(fā)現(xiàn)暴露給第三方開發(fā)人員的接口存在重大漏洞。亞馬遜和PayPal的支付服務(wù)、Trillian即時通訊服務(wù)、Chase手機銀行服務(wù)和其他web應(yīng)用程序在它們的SSL（安全套接字層）協(xié)議部署中都存在漏洞，當通過API訪問時，這些應(yīng)用程序?qū)⒚媾R威脅。

　　其結(jié)果是，應(yīng)用程序可能被誘騙為允許攻擊者通過API訪問客戶數(shù)據(jù)。研究人員在其報告中表示：“大多數(shù)這些漏洞的根本原因是底層SSL庫中API糟糕的設(shè)計。”

　　在2012年，API的問題其實就已經(jīng)引起了一些關(guān)注。在11月份，安全研究人員Carlos Reventlov發(fā)現(xiàn)圖片分享服務(wù)Instagram中存在一個漏洞，該漏洞將允許中間人攻擊者訪問或者刪除個人的照片。在4月份，微軟研究所發(fā)現(xiàn)Facebook、Google ID和PayPal的單點登陸服務(wù)中使用的邏輯存在嚴重漏洞。

　　Solutionary的安全工程技術(shù)研究小組（SERT）的威脅分析師Christopher Barber表示，這個問題的解決辦法并不是什么新技術(shù)，而是在于對細節(jié)的關(guān)注。

　　Barber表示，“部署水平并沒有達到我們期望的水平，非常參差不齊，在軟件開發(fā)中，你必須在某個時間期限內(nèi)實現(xiàn)某些功能，而安全總是被拋在腦后。”

　　按時完成Web應(yīng)用程序的壓力，加上部署SSL的復(fù)雜性，使創(chuàng)造安全的API非常具有挑戰(zhàn)性。來自這兩所大學的研究人員建議開發(fā)人員應(yīng)該更加明確應(yīng)該如何正確地使用其API和SSL庫。此外，云服務(wù)應(yīng)該定期對其代碼進行黑盒測試或者模糊測試，來看看當攻擊者試圖攻擊時應(yīng)用程序的行為。

　　幫助客戶管理API的公司Layer 7首席技術(shù)官K. Scott Morrison表示，就其性質(zhì)而言，API給web應(yīng)用程序帶來更大的攻擊風險。“對于攻擊者而言，API是非常有指示性的工具，能夠告訴你應(yīng)用程序如何運行，”他表示，“它具有自我描述性，能夠為應(yīng)用程序提供路線圖。”

　　除了正確加密和審計應(yīng)用程序外，開發(fā)人員還需要考慮身份問題，誰在訪問API以及他們被允許訪問哪些類型的數(shù)據(jù)。讓問題更加復(fù)雜的是，大部分時候是應(yīng)用程序，而不是特定的人在訪問數(shù)據(jù)。

　　最后，很多web開發(fā)人員類似黑客的態(tài)度并不是云服務(wù)供應(yīng)商及其客戶對處理API應(yīng)該采取的方法。Morrison補充說，“我們做了很多重新使用的工作，我們的一些壞習慣也被帶入API世界。不幸的是，這些習慣在網(wǎng)絡(luò)世界在API世界將會帶來非常破壞性的影響。”