向日葵首先和大家科普下，API一般是指應(yīng)用程序接口，主要用于軟件系統(tǒng)之間銜接的相關(guān)約定。當(dāng)應(yīng)用程序與開發(fā)人員基于某個(gè)軟件或者硬件，進(jìn)行訪問銜接的約定，則是被稱為API。API無需訪問源碼，現(xiàn)如今已經(jīng)成為APP經(jīng)濟(jì)的粘合劑。根據(jù)向日葵分析，開放的API已經(jīng)出現(xiàn)在桌面應(yīng)用商店，越來越多的Web應(yīng)用也向開發(fā)者開放了API的權(quán)限，導(dǎo)致了API同樣也存在攻擊漏洞。

對(duì)此向日葵漏洞小課堂提示，API的運(yùn)行方式是與URL類似的，其可以實(shí)現(xiàn)獲取用戶地理位置、賬號(hào)、余額等功能，同時(shí)API也包括所有防護(hù)檢查，檢查完畢后便與后端服務(wù)進(jìn)行連接，因此API漏洞也變得越來越常見。那么如何有效預(yù)防API漏洞呢?

圖形或者手機(jī)驗(yàn)證碼

利用手機(jī)驗(yàn)證碼或者圖形驗(yàn)證碼，是較為常見防止惡意攻擊的方法，同時(shí)也是十分有效的。向日葵認(rèn)為當(dāng)用戶需要銜接API時(shí)，可以通過手機(jī)或者圖形驗(yàn)證碼來進(jìn)行驗(yàn)證，這樣就能夠有效避免漏洞被調(diào)用或者攻擊。

歸屬地匹配

向日葵漏洞小課堂提醒：利用服務(wù)器端檢查用戶所在地的IP是否與手機(jī)號(hào)碼歸屬地匹配，也是能夠有效預(yù)防API漏洞的，如果在不匹配的情況下，則是需要增加多次手動(dòng)操作流程。

使用https：

作為協(xié)議服務(wù)的https訪問，同樣利用在API銜接也是具有明顯效果。據(jù)向日葵了解，https需要秘鑰的交換，因此通過API接口開啟訪問https的方式，可以有效辨別API是否出現(xiàn)漏洞，或者是非真人IP地址。

服務(wù)器端代理

采用服務(wù)器代理，可以有效解決API真實(shí)接口地址的暴露。API漏洞問題，無論是對(duì)于企業(yè)還是個(gè)人來說，都是具有一定威脅的，因此向日葵建議大家了解API的相關(guān)風(fēng)險(xiǎn)，以及防護(hù)措施，是非常重要的。

限制請(qǐng)求次數(shù)

一般API接口連接的次數(shù)，都不可能是無限次的，因此【向日葵漏洞小課堂】提倡限制請(qǐng)求次數(shù)。不管是同一IP地址還是同一設(shè)備，在時(shí)間范圍內(nèi)限制接口請(qǐng)求次數(shù)是非常重要的，例如同一號(hào)碼發(fā)送請(qǐng)求的間隔時(shí)間為60秒，每天最大發(fā)送量為10次，這些防護(hù)手段能夠有效針對(duì)API漏洞。

增加流程條件

完善的用戶注冊(cè)信息，是能夠有效預(yù)防API漏洞的，向日葵指出，在用戶注冊(cè)流程當(dāng)中，增加流程條件，并且把短信驗(yàn)證放在最后流程當(dāng)中，成效是十分明顯的。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）