今日挑战 · API安全漏洞与防护措施

【多选题】

中等

某电商平台基于Magento系统开发，近期收到安全通报称存在PolyShell高危漏洞，可导致未授权远程代码执行。经排查，该平台还通过第三方API集成了支付、物流等外部服务。以下哪些措施能有效降低API安全风险并防范类似漏洞？

A. 启用API网关，对所有入站请求进行身份验证、速率限制和输入校验*（多选）

B. 在API响应中返回详细的错误堆栈信息，方便开发者调试

C. 定期对API接口进行安全测试，包括模糊测试和渗透测试*（多选）

D. 在API调用中仅使用白名单方式允许已知安全的参数和数据类型*（多选）

🤔

正确答案与解析在下方

想一想你的答案是什么？
准备好了再往下滑动 👇

📌 答案与解析

正确答案：ACD

✅ A. 启用API网关，对所有入站请求进行身份验证、速率限制和输入校验*（多选）

B. 在API响应中返回详细的错误堆栈信息，方便开发者调试

✅ C. 定期对API接口进行安全测试，包括模糊测试和渗透测试*（多选）

✅ D. 在API调用中仅使用白名单方式允许已知安全的参数和数据类型*（多选）

答案解析

A项正确：API网关可集中实施安全策略，如认证、限流和输入校验，有效防御未授权和恶意请求；C项正确：定期安全测试（如模糊测试、渗透测试）可主动发现RCE等漏洞；D项正确：白名单输入校验能防止SQL注入、命令注入等攻击。B项错误：返回详细错误信息会泄露系统结构、代码路径等敏感信息，增加攻击面，违反信息最小化原则。