在攻防實(shí)戰(zhàn)和演練過(guò)程中，針對(duì)目標(biāo)對(duì)象的滲透過(guò)程可以概括為目標(biāo)偵查、暴露面發(fā)現(xiàn)、滲透利用、橫向滲透幾個(gè)步驟。攻擊方會(huì)通過(guò)各種渠道對(duì)目標(biāo)對(duì)象的全量資產(chǎn)進(jìn)行收集，嘗試從中找到防護(hù)的薄弱點(diǎn)，進(jìn)而展開(kāi)攻擊行動(dòng)。

但是，隨著大家網(wǎng)絡(luò)安全意識(shí)的提升和各類(lèi)攻防演練的深入開(kāi)展，促使業(yè)務(wù)系統(tǒng)的安全加固工作持續(xù)升級(jí)，資產(chǎn)暴露面不斷收斂；與此同時(shí)，新業(yè)務(wù)系統(tǒng)上線(xiàn)前也會(huì)開(kāi)展專(zhuān)門(mén)的安全滲透工作來(lái)降低被攻擊的風(fēng)險(xiǎn)，這導(dǎo)致通過(guò)直接滲透的方式突破系統(tǒng)防線(xiàn)的成功率越來(lái)越低。

除了偶爾“撿漏”外，攻擊方已經(jīng)基本放棄“死磕”目標(biāo)系統(tǒng)，而是通過(guò)其他“迂回”的戰(zhàn)術(shù)和途徑來(lái)尋找攻擊突破口，比如社會(huì)工程學(xué)中的敏感信息收集、郵件釣魚(yú)、小程序、APP、供應(yīng)鏈滲透等。通過(guò)API進(jìn)行滲透就是當(dāng)下攻防對(duì)抗中頗受攻擊方青睞的一種方式，同時(shí)也是防守方需要格外留意和加緊防范的問(wèn)題。

究竟什么是API

常規(guī)定義下，API是應(yīng)用程序接口（Application Programming Interface）的簡(jiǎn)稱(chēng)，其含義比較寬泛，泛指一組定義、程序及協(xié)議的集合。隨著技術(shù)領(lǐng)域的細(xì)分和前后端分離架構(gòu)模式的推廣，App應(yīng)用、小程序、微服務(wù)、云原生等場(chǎng)景的不斷演進(jìn)和普及，API的應(yīng)用也越來(lái)越廣泛。

攻擊者為什么偏好通過(guò)API進(jìn)行滲透