簡單，原理圖，更快的開發和快速部署使API如此受歡迎和廣泛使用。因此，它自然會帶來各種挑戰，以維護其實施並保護它們免受各種威脅，例如中間人攻擊，缺乏XML加密，不安全的端點，API URL引數等。

REST API具有與Web應用程式類似的漏洞。在本文中，我們將介紹一些常見的API漏洞，每個開發人員都應該瞭解這些漏洞並在其程式碼中尋找。

API公開敏感資料和保護

個人資訊，信用卡資訊，健康記錄，財務資訊，商業資訊以及許多其他類別的個人資訊都需要保護，因此我們需要評估和確定傳輸或儲存的資料型別，並確保使用適當的加密保護關鍵資料演算法和安全措施。REST API安全性最佳實踐的一些注意事項如下：

根據這些分類對資料進行分類並應用控制

除非必要，否則不要儲存敏感資訊，並儘快丟棄。使用標記化和截斷方法來防止敏感資料的暴露

加密是必不可少的關鍵保護措施

不要為敏感資料實現快取（或禁用敏感資料事務的快取）

對密碼使用salt和自適應（可配置的迭代次數）雜湊方法

身份驗證攻擊

跨站指令碼

跨站點指令碼（也稱為XSS攻擊）是將惡意程式碼作為Web服務輸入的一部分注入的過程，通常是透過瀏覽器向不同的終端使用者注入。惡意指令碼一旦注入，就可以訪問瀏覽器保留的任何cookie，會話令牌或敏感資訊，甚至可以偽裝呈現頁面的整個內容，XSS分類為伺服器端XSS和客戶端XSS。傳統上，XSS由三種類型組成； 它們是Reflected XSS，Stored XSS和DOM XSS。

跨站請求偽造

跨站點請求偽造（也稱為CSRF，sea-surf或XSRF）是一個漏洞，Web應用程式可能會強制終端使用者（透過偽造連結，電子郵件，HTML頁面）對當前經過身份驗證的操作執行不需要的操作會話。同步令牌模式，cookie到標頭令牌，雙提交cookie和客戶端安全措施是常見的CSRF預防方法。

拒絕服務（DoS）攻擊

拒絕服務是一種攻擊，旨在透過傳送大量偽造請求使目標機器快速達到其最大負載（服務請求的容量），因此，目標系統拒絕進一步的真實請求。

注射攻擊

攻擊者嚮應用程式提供不受信任的輸入，該輸入作為命令或查詢的一部分被執行/處理，因此，這導致應用程式行為的部分或完全討論，並導致諸如資料被盜，資料丟失，丟失等後果資料完整性，DoS甚至導致完全系統受損。

不安全的直接物件引用

不安全的直接物件引用，或簡稱IDOR，是一個同樣有害的頂級API漏洞； 當應用程式根據使用者輸入（例如Id，filename等）公開對內部物件的直接訪問時，就會發生這種情況。您可能已經觀察到許多REST URI暴露了某種ID，尤其是在獲取資源時。讓我們舉一個示例場景來向讀者說清楚 - 說Bob正在使用API客戶端，他需要獲取ID為1001的檔案。他需要使用myapi。server。com/browse/file/ID/1001，

但假設他正試圖Alice的檔案（1003），他不應該，也就是嘗試使用URL myapi。server。com/browse/file/ID/1002，所以他應該是拒絕訪問。如果沒有，那麼API將暴露給IDOR漏洞。

中間人（MITM）攻擊

中間人攻擊是來自網路中間的犯罪者地點或真實使用者與應用伺服器之間的通訊的攻擊。它打算竊取，竊聽，冒充，秘密傳遞，攔截或改變兩個通訊方之間的API訊息通訊，除此之外似乎正在進行正常的資訊交換。

重複攻擊和欺騙

重複攻擊和欺騙（又稱回放攻擊）是網路攻擊，其中有效資料傳輸（應該只有一次）被攻擊者多次（惡意地）重複，這些攻擊者欺騙有效交易並重復它多次。喜歡。雖然伺服器期望有效的事務，但它不會有任何疑問，因為這些請求是伺服器上的有效事務。然而，這是一個偽裝的請求，並導致客戶的災難性影響。

保護措施包括帶有會話識別符號的一次性密碼，TTL（生存時間）測量客戶端的MAC實現，幷包括請求中的時間戳以及安全協議，如Kerberos協議預防，安全路由和挑戰握手認證協議（CHAP）。