在現代應用程式開發中，API(應用程式介面)幾乎無所不在。無論是手機App、網站，還是物聯網設備，都會透過API和伺服器交換資料。
但如果這些API設計不當或缺乏安全防護，駭客就能利用漏洞來竊取或修改資料，甚至進一步控制系統。

常見的API攻擊手法

1. 不安全的身份驗證
   駭客利用缺乏登入驗證或弱Token管理的API，直接繞過驗證存取資料。
   例子：僅靠API Key，且Key沒有過期機制。
2. 越權存取(Broken Access Control)
   API沒有正確檢查權限，導致駭客能存取或修改別人的資料。
   例子：修改URL中的 user_id=123 為 user_id=124 就能看到別人的資料。
3. SQL/NoSQL注入
   如果API沒有正確處理輸入，駭客可以在查詢參數中注入惡意指令，操控資料庫。
   例子：/api/user?id=1 OR 1=1
4. 敏感資料外洩
   API回傳過多資訊(例如完整的使用者個資、系統錯誤訊息)。
   駭客可以分析回應，獲取原本不應該公開的內容。
5. 暴力破解與自動化攻擊
   駭客利用腳本連續呼叫API，進行密碼猜測、Token測試或收集資料。
   如果沒有速率限制(Rate Limit)，API會很快被攻擊。

防範方法

1. 強化身份驗證與授權:採用 OAuth 2.0、JWT，並嚴格控管不同角色的權限。
2. 輸入驗證與輸出過濾:嚴格檢查輸入，避免注入攻擊；輸出只回傳必要資料。
3. 限制請求速率(Rate Limiting):避免駭客透過自動化工具發動暴力攻擊。
4. API Gateway與WAF(Web Application Firewall):集中管理API流量，並阻擋可疑請求。
5. 定期安全測試:使用自動化工具或滲透測試檢查API弱點，並持續修補漏洞。

真實案例
2018年，Facebook API漏洞導致 5000萬用戶的存取Token被竊取，駭客因此能以用戶身份登入網站或第三方應用程式。
這件事凸顯了API安全的重要性，一旦出問題，影響規模可能非常巨大。

結語
API是現代應用的「大門口」，一旦缺乏保護，就等於把鑰匙交給駭客。
安全的API = 正確的身份驗證 + 嚴謹的權限控制 + 最少化的資料回應 + 定期檢測。