API无处不在。在2021年的一项调查中，83%的企业表示，他们已经发布了90多个API接口，而且这个数字还在增加。如今，API在几乎每个行业都发挥着至关重要的作用。随着他们走向商业战略的前沿，他们的重要性正在稳步增长。这并不奇怪:API无缝连接不同的应用和设备，带来前所未有的业务协同效应和效率。但是API和软件的任何其他组件一样有漏洞。此外，如果他们没有从安全的角度进行严格的测试，他们可能会引入一系列新的攻击面，面临前所未有的风险。如果API漏洞直到生产环境才发现，可能会造成很多延迟。API对攻击者很有吸引力，而不仅仅是企业。API的作用不仅仅是连接应用，它们以不可预测的方式改变功能。黑客熟悉API可能引入的许多独特弱点。他们开发了不同的方法来攻击API，以访问底层数据和功能。

根据漏洞影响力前10名排行榜，通过身份验证的合法用户使用看似合法但实际上是为了操纵API的调用而使用API并不少见。这些旨在操纵业务逻辑和设计缺陷的攻击对攻击者很有吸引力。每个API都是独一无二的。因此，其软件错误和漏洞也是独一无二的，未知。作为防御者，导致业务逻辑或业务流程级别攻击的错误类型尤为具有挑战性。

是否足够重视API安全测试？

渗透测试api安全在许多组织中得到了广泛的接受，允许在整个开发过程中进行连续测试。但API安全测试通常会失败，或者在没有充分了解所涉及的风险的情况下进行。为什么？好吧，原因不止一个：现有的应用程序安全测试工具用的，针对传统的Web应用漏洞，无法有效处理API的业务逻辑复杂性。因为API没有UI，所以公司通常会分别测试Web、应用和移动设备，但不会测试API本身。测试API可能是手动密集型的，当有数百个API时，这些API无法扩展。

由于API测试比其他类型的测试更复杂，相关经验和专业知识可能不足。使用旧API，可能不了解已实现的API或文档。因此，虽然人工渗透测试安全受到了许多组织的广泛关注。