盘点Web应用程序安全“七宗罪”！(3)

　　近些年来，API越来越流行，开发人员在构建应用程序时开始更频繁地使用它们，作为将其服务或数据提供给其他应用程序的一种方式。但是不幸的是，它们正在被实现到Web应用程序中，且完全忽略了安全问题。让情况变得更糟的是，欠缺保护的API往往并非传统应用安全测试过程的一部分。

　　这可能就是OWASP去年将“不受保护的API”列入其“web应用程序十大安全风险”榜单前十名的原因。随着越来越多的组织将API用作当今DevOps商店所青睐的各种轻量级快速部署软件之间的“润滑剂”，这种威胁势必会引发更为广泛的关注。

　　根据Imperva几个月前进行的研究显示，公司平均管理着363种不同的API，其中三分之二是面向公众和其合作伙伴的公开API。

　　7. 忽略传输层保护

　　好消息是，现在组织在部署HTTPS方面变得越来越积极。但坏消息是，部署现状仍不容乐观，还有很长的路要走。

　　根据上个月Mozill Observatory进行的扫描结果显示，在Alexa排名前一百万(Top 1M)网站中，大约有54.3%的网站使用了HTTPS，这一比例较去年夏天增长了19%。但是，这仍然意味着还有大约一半的顶级网站仍在使用落后且不安全的HTTP协议。

　　所以可以说，想要实现让大多数网站禁用HTTP的目标，仍然还有很长的路要走。这一过程需要通过HSTS实现，它是国际互联网工程组织IETE正在推行一种新的Web安全协议，旨在帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本，强制客户端(如浏览器)使用HTTPS与服务器创建连接。而根据Mozilla的扫描结果显示，使用HSTS的网站仅占Alexa Top 1M的6%左右。

（编辑：ASP站长网）