在一些提供API服务的网站上,他们总是提到“尊重他们的API”。我认为当网站提供他们的API时,他们允许用户以方便的方式使用它们。我们无法真正更改从API检索的代码或输出。
我只是想知道我们需要做些什么才能真正“尊重他们的API”以及哪些行为被视为“不尊重他们的API”?
答案 0 :(得分:1)
损害API安全性,速度或使用的行为可被解释为“不尊重API”。来自CAPEC.org:
攻击者操纵应用程序编程接口(API)的处理,导致API的功能对实现API的系统或应用程序的安全性产生不利影响。这可以允许攻击者执行API实现不期望的功能,可能危及集成API的系统或应用程序。 API滥用可以采用多种形式。例如,API可以信任调用函数正确验证其数据,因此可以通过提供元字符或备用编码作为输入来操纵它,从而导致任何数量的注入缺陷,包括SQL注入,跨站点脚本或命令执行。另一个例子可能是API方法,应该在生产应用程序中禁用但不是,因此在生产环境中暴露危险的功能。