iT邦幫忙

2025 iThome 鐵人賽

DAY 27
3
Security

資安小白的成長日記:我學到的資安基礎系列 第 27

Day 27 - API攻擊:駭客如何利用API漏洞發動攻擊

  • 分享至 

  • xImage
  •  

在現代應用程式開發中,API(應用程式介面)幾乎無所不在。無論是手機App、網站,還是物聯網設備,都會透過API和伺服器交換資料。
但如果這些API設計不當或缺乏安全防護,駭客就能利用漏洞來竊取或修改資料,甚至進一步控制系統。

常見的API攻擊手法

  1. 不安全的身份驗證
    駭客利用缺乏登入驗證或弱Token管理的API,直接繞過驗證存取資料。
    例子:僅靠API Key,且Key沒有過期機制。
  2. 越權存取(Broken Access Control)
    API沒有正確檢查權限,導致駭客能存取或修改別人的資料。
    例子:修改URL中的 user_id=123 為 user_id=124 就能看到別人的資料。
  3. SQL/NoSQL注入
    如果API沒有正確處理輸入,駭客可以在查詢參數中注入惡意指令,操控資料庫。
    例子:/api/user?id=1 OR 1=1
  4. 敏感資料外洩
    API回傳過多資訊(例如完整的使用者個資、系統錯誤訊息)。
    駭客可以分析回應,獲取原本不應該公開的內容。
  5. 暴力破解與自動化攻擊
    駭客利用腳本連續呼叫API,進行密碼猜測、Token測試或收集資料。
    如果沒有速率限制(Rate Limit),API會很快被攻擊。

防範方法

  1. 強化身份驗證與授權:採用 OAuth 2.0、JWT,並嚴格控管不同角色的權限。
  2. 輸入驗證與輸出過濾:嚴格檢查輸入,避免注入攻擊;輸出只回傳必要資料。
  3. 限制請求速率(Rate Limiting):避免駭客透過自動化工具發動暴力攻擊。
  4. API Gateway與WAF(Web Application Firewall):集中管理API流量,並阻擋可疑請求。
  5. 定期安全測試:使用自動化工具或滲透測試檢查API弱點,並持續修補漏洞。

真實案例
2018年,Facebook API漏洞導致 5000萬用戶的存取Token被竊取,駭客因此能以用戶身份登入網站或第三方應用程式。
這件事凸顯了API安全的重要性,一旦出問題,影響規模可能非常巨大。

結語
API是現代應用的「大門口」,一旦缺乏保護,就等於把鑰匙交給駭客。
安全的API = 正確的身份驗證 + 嚴謹的權限控制 + 最少化的資料回應 + 定期檢測。


上一篇
Day 26 - 暴力破解攻擊:駭客如何猜測你的密碼
下一篇
Day 28 - DNS劫持:駭客如何篡改網站流量
系列文
資安小白的成長日記:我學到的資安基礎30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言