API使应用程序的特性更加丰富和动态，但它们也增加了攻击面。
　　API或应用程序编程接口是多个计算机程序相互通信的一种方式。例如，网站可以使用API​​从数据库请求信息或将信息传递给第三方服务。移动应用程序经常使用API​​将数据来回发送到中央服务器。传统的网站正迅速被高度交互的基于API的网站所取代。API也是企业应用程序的关键，它取代了原有的信息交换机制。
　　根据Akamai公司今年早些时候发布的一份报告，API调用现在占所有Web流量的83%。这意味着提供了功能更强大、功能更丰富的应用程序，但同时也意味着更大的安全风险。根据调研机构Gartner公司的调查，到2021年，将有90%的启用Web的应用程序以暴露的API而非用户界面的形式具有更大的攻击面，而2019年为40%。到2022年，API滥用将成为常见的攻击。
　　例如，麦当劳公司的API公开了其移动交付应用程序用户的个人数据。由于API导致数据泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美国国税局也遭遇了API数据泄漏的事件。
　　总部位于波士顿的安全机构Cyber​​eason公司的信息安全官Israel Barak表示，“在过去的五六年中，API成为越来越大的问题。业务、系统和应用程序之间的互连性的增加加速了面向公众的API的采用。然后便是微服务和容器等服务的使用。”
　　以一个用于预订航班的网络应用为例。如果它是传统的整体应用程序，则用户将选择一个航班，获取报价，付款并预定。他们将按顺序完成所有这些步骤。Barak说，“交易过程确保第一步发生在第二步之前。”
　　现在，网络上的同一应用程序可能是一组独立功能，每个功能都调用一个单独的API。一个乘客可能会向支付系统发送请求。另一个乘客可能会向航空公司发送预订航班的请求。利用公开的API，黑客可以跳过付款步骤而直接进入预订步骤。此外，攻击者也可能劫持确认所有用户信息，并获取其他客户的姓名、地址和付款明细的API。
　　有时，即使是无害的API也会造成损害，Barak说。例如，在用户选择城市所在的国家/地区后，网络表单通常会提供城市列表。如果城市列表是通过API提供的，则攻击者可以发送大量假请求，足以关闭该特定服务-并使整个Web表单停止运行。Barak说，“而且不能使用验证码，因为另一边没有人。”
　　总部位于圣马特奥的网络安全机构PerimeterX公司联合创始人兼技术官Ido Safruti表示，当人们使用API​​来验证信用卡且访问权限未得到适当锁定时，还会发生另一种常见的API滥用。他说：“我可以直接采用API并尝试验证被盗的信用卡或者礼品卡，这更容易，因为不需要用户的姓名或邮政编码。”
　　他补充说，“这种第三方API的使用很难以锁定。作为数据中心运营商，如果其应用程序在数据中心之外调用API，那么可能对此完全一无所知。”
　　从后台到前台
　　在以往，企业的应用程序在内部网络内相互通信，可以安全地隐藏在防火墙后面。应该说，这意味着访问和身份验证问题对开发人员的压力并不大。实施大量安全检查会很麻烦，会减慢开发速度并干扰功能。如今，在混合数据中心和万物实现云化的情况下，但API并没有企业的防火墙防护，但是开发人员经常忘记这一事实，并意外地将其公开。
　　BTB Security公司顾问Humberto Gauna说，“保护API并不难。但这需要一定的资源，将会增加公司的成本。”他建议，在构建新的API时，企业应让安全专业人员参与早期阶段。
　　通常情况下，数据中心安全管理人员对开发人员如何编写其API并没有什么要求。但它们可以确保内部数据库和服务器得到适当的保护，并确保基于云计算的服务得到适当的配置。他们还可以