应对 OWASP 十大 API 漏洞：API 安全需要 Bot 管理

企业网络安全团队已将重点转向 API 安全，这是正确的。在数字经济中，API 是业务的前门，是物联网设备、Web 和移动应用以及业务合作伙伴流程的入口点。不幸的是，API 也是犯罪分子的前门，其中许多人依靠 Bot 来发动攻击。因此，对于安全团队来说，保护 API 并缓解用于攻击它们的 Bot 至关重要。

审视 OWASP 十大 API 安全漏洞，可以清楚地看到 Bot 在 API 攻击中的核心地位。十大 API 漏洞中有三个与 Bot 有直接明显的关联。

• 身份验证失败：机器人通过暴力破解、字典攻击和撞库攻击破坏身份验证，导致账户被接管、欺诈、经济损失和客户不满。
• 无限制的资源消耗：Bot 会利用无限制的资源消耗，耗尽 API 的内存和处理能力。当 Bot 攻击为交互式应用程序（即人类使用的网页和移动应用程序）设计的 API 时，对性能的影响可能是灾难性的。
• 无限制访问敏感业务流程：过度访问某些业务流程可能会损害业务。未经授权的转售商可以买断商品库存，然后以更高的价格转售。垃圾邮件发送者可以利用评论/发布流程。攻击者可以利用预订系统预订所有可用的时间段。在这些情况下，都是 Bot 造成了损害。还记得泰勒-斯威夫特（Taylor Swift）演唱会门票售罄的速度有多快吗？这导致了 Ticketmaster 应用崩溃，歌迷深感沮丧。这正是 Bot 引发的骚乱。

OWASP API 十大漏洞列表中的其他七项 — 如安全配置错误、库存管理不善、授权失效等漏洞 — 与 Bot 的关系并没有那么明显，但攻击者却依靠 Bot 来有效发现并迅速利用这些漏洞。Corey J. Ball 在其著作《黑客 API》中介绍了几种用于 API 发现（OWASP ZAP、Gobuster、Kiterunner）和模糊处理（Postman、Wfuzz 和 Burp Suite）的自动化工具的使用方法。利用这些工具，攻击者会向 API 发送数千次请求以找出漏洞。为了深入了解这种窥探行为并降低其成功几率，就需要一个有效的 Bot 攻击缓解系统。

Bot 对不同 API 的影响方式并不相同。那些用于机器到机器通信并由自动化流程访问的 API（通常是内部流程或合作伙伴的流程）通常通过双向 TLS 进行保护，在这种情况下，身份验证失效的风险较低，并且可以根据已验证的客户端实施速率限制。相反，最容易受到 Bot 攻击的是那些只用于从交互式应用程序（即人类使用的网页和移动应用程序）获得流量的 API。

对于期望由人类发起流量的 API 来说，抵御 Bot 攻击变得越来越困难。开源库使通过头部指纹识别来避免监测变得轻而易举，而 Bot 运营商也可以利用广泛可用的服务来破解验证码，并通过包含数千万个住宅 IP 地址的网络验证码和代理请求。由于头分析、IP 拒绝列表和验证码等旧技术不再有效，应用程序安全团队必须依靠丰富的客户端信号收集、JavaScript 和移动 SDK 以及复杂的机器学习来区分攻击工具和 Bot 行为，从而减少 Bot 攻击的出现。

贵企业的哪些 API 容易受到 Bot 的攻击？收到影响的可能性和成本是多少？如何设计安全控制以确保必要的 Bot 防护措施？这些问题都是在威胁建模中需要解决的关键问题。了解 Bot 对业务影响的更多信息，请参阅 F5 相关主题白皮书或申请免费咨询.