【分享】微软也有API漏洞？API网关是正解吗？

漏洞：Microsoft联机帐户

重置账户密码的API节点是常见的攻击矢量，攻击者通过提交海量的重置密码的代码组合，在有限的时间窗口内强制执行重置密码的操作。
最近微软就被发现了这么一个API漏洞，攻击者可以通过上述的方式来强行破解并重置微软用户的密码。
后续微软已经解决了这个问题，并给了这位黑客5万美元的奖励。

实际上，微软在这之前已经采取了一些措施来预防系统被入侵：
账户密码不可以是简单的数字，客户端和API之间也有一些基本的加密；
限制了API的速率；
检测异常的同时间、多端点的请求，并拒绝来自这些IP地址的所有代码。

但还有需要补充的：
需要假设攻击者可以通过多个IP地址发起分布式攻击；
使用更复杂的重置代码，更复杂的组合可以使得攻击者更难暴力破解；
增加智能限速机制作为附加保护；

思考：API网关是正解吗？

答案是确定的，但是因人而异。
在微服务化的趋势下，加上因为疫情疫情更加普及的线上云，通过API的内外网交互也越来越多。已经有很多网络安全相关的专家提出了观点，API会下一个容易遭到攻击的危险目标。无论是在互联网还是传统行业，API安全网关将是各大企业不可或缺的安全大门。

那为什么说因人而异呢？因为虽然API安全防护非常重要，但也应结合行业特征来考虑安全投入与应用性之间的平衡。
像微软这样的互联网巨头，更重点的是关注高并发下的API服务能力，如果使用了过多的安全策略，很大程度上会导致API服务的性能和应用性不友好。所以推荐标准化的企业级API网关。

而在金融、汽车制造等传统行业，对交易和生产的稳定性、安全性要求更高，而并发数并不像大型互联网企业那么高，因此这类企业会在政策监管的要求下，对API安全进行更加全面的防护。
Eolinker作为国内API领域的先行者，除了在企业级的微服务网关有优秀的技术水平，还有针对金融行业的非标准化API安全策略方案，在API层级保证数据安全，详细可以通过官网了解：www.eolinker.com