Web服务API存重大漏洞 威胁云计算安全

云服务通过其应用程序编程接口（API）允许第三方访问应用程序和数据，这无疑为开发者提供了无限的创新可能。随着这一便利性的增加，也带来了潜在的安全风险。近期，美国德州大学奥斯汀分校和斯坦福大学的研究人员发现，许多知名云服务中的API存在重大漏洞。

这些漏洞不仅存在于亚马逊和PayPal的支付服务中，还存在于Trillian即时通讯服务以及Chase手机银行服务等其他云服务中。这些服务在SSL（安全套接字层）协议部署上的疏忽，使得通过API访问时，应用程序和数据面临严重威胁。

这些漏洞的根本原因在于API设计的缺陷，尤其是底层SSL库中的设计问题。研究人员指出，这些漏洞可能被攻击者利用，通过API访问，从而威胁到云服务的安全性。这一问题并非新出现的，早在2012年，安全研究人员就已经发现API存在类似的问题。例如，在图片分享服务Instagram中，存在一个允许中间人攻击者访问或删除个人照片的漏洞。微软研究所也发现了Facebook、Google ID和PayPal等单点登陆服务中的逻辑漏洞。

对此问题的解决并非需要新技术，而是需要对细节的关注。一位来自Solutionary的安全工程技术研究小组（SERT）的威胁分析师Chrisher Barber表示，软件开发过程中往往因为追求功能实现的进度而忽视安全问题，加之部署SSL的复杂性，使得创建安全的API成为一项挑战。

为了帮助开发人员更好地理解和使用API和SSL库，云服务提供商应定期进行黑盒测试或模糊测试。Layer 7的首席技术官K. Scott Morrison指出，API本身给云应用程序带来了更大的攻击风险。开发人员除了考虑如何正确加密和审计应用程序外，还需要考虑身份问题，谁在访问API以及他们被允许访问哪些类型的数据。由于很多时候是应用程序而不是特定的人在访问数据，这也增加了问题的复杂性。因此开发人员必须抛弃类似于黑客的态度，重视API的安全问题。云服务供应商及其客户也应意识到，坏习惯在网络世界中的遗留可能会给API世界带来非常破坏性的影响。

随着云服务的发展，API的安全性已成为一个亟待解决的问题。为了保障云服务和数据的安全，开发人员需要更加关注细节，采取适当的措施加强API的安全性。同时云服务供应商也需要加强测试和监管力度以确保其服务的稳定性和安全性从而为第三方开发者提供更好的开发环境保障用户的数据安全。