送出過濾條件

資訊中心管理
API 安全性管理
前往目錄
在現今數位世界中,API(應用程式介面)已成為連結網路和軟體應用的基石。對於任何一個重視數位轉型的組織來說,確保 API 的安全性是一項不容忽視的任務,不論是伺服器間的連接還是給前端平台的認證,一旦 API 連接上有疏失,就可能造成資料洩露及嚴重的商業影響。

常見的 API 攻擊方式(Common API Attack Methods)

以下列出幾種常見的 API 攻擊方式:

● 接口認證和授權的濫用 (Authentication and Authorization Exploits):攻擊者透過偽造認證資料或使用不當的授權,尤其是當接口未明確實現OAuth或API Key時,容易遭受此類攻擊。

● 資料洩露(Data Leakage):由於路徑設計不當或 API 接口編輯錯誤, 而產生的人為疏失時,敏感數據可能被未經授權的訪問者取得,導致數據洩露的風險。

● 中間人攻擊(Man-in-the-Middle Attacks):攻擊者攔截並篡改 API 請求與回應,從而取得敏感信息或注入惡意數據,威脅整體系統的完整性。

安全性的優化實例 (Security Optimization Solutions)

為提升 API 的安全性,Axway APIM 提供下述解決方案讓您的 API 服務落實安全管控:

● OAuth2(Implement OAuth2):採用標準的授權框架如 OAuth2,確保 API 訪問的身份驗證與授權流程安全可靠, 台灣的開放銀行也是使用 OAuth 2.0 Authorization code grant(or web server)flow 進行 API 安全認證,確保用戶透過 API 進行金融交易時的安全。

OAuth 2.0 Auth code grant flow
OAuth 2.0 Auth code grant flow

● 使用 API Gateway:部署 API Gateway 來集中管理與保護 API 流量,實現流量控制、身份驗證、速率限制和防止惡意請求等功能。

Axway API Gateway API 閘道管理
Axway API Gateway API 閘道管理

● 加密數據傳輸(Encrypt Data Transmission):使用 HTTPS 協議,確保所有數據在傳輸過程中經過加密,透過 JWE 技術(JSON 網路加密,JSON Web Encryption)加密請求內容,防止敏感信息被攔截。

JWE 加密
JWE 加密

● 定期安全測試(Conduct Regular Security Testing): 執行滲透測試與漏洞掃描,及早發現 API 中的安全漏洞並進 行修復。

● 實施呼叫配額限制(Implement Rate Limiting):設定每個客戶端的請求頻率上限,以防止 DDoS 攻擊和暴力破解攻擊。

透過以上方法,能有效減少 API 遭受攻擊的風險,保護組織的數據資產與業務運營安全。

了解 Axway API 管理平台>>>https://www.gss.com.tw/apim