>假设我有一个网站通过他们的API从Constant Contact或Mailchimp中提取数据。然后由于某种不幸的原因,其中一个网站被黑客入侵。由于我通过 API 连接,我的站点现在是否更容易受到攻击?
有针对性的攻击是可能的,但不太可能。使用 API 时,您正在向某个服务器发出请求,该服务器固有地向该服务器提供有关您是谁的信息,以便发送回响应。有了它,黑客可以使用该信息尝试并向您的地址发送攻击。这可以通过使用您的地址作为外部程序/脚本来完成,或者通过将恶意信息作为响应而不是预期发送
回来完成。不过,由于多种原因,这种情况极不可能发生。主要原因是,为什么专门针对您的黑客会遇到控制另一个实体(他们的 API)的麻烦,然后攻击您?黑客更有可能试图访问API所有者的数据库并利用那里保存的信息,而不是针对使用其API的人。
所以,是的,如果黑客获得了对您使用的 API 的访问权限,他们也有可能对您进行有针对性的攻击。请注意,您与之联系的任何外国实体都存在这种机会。提供有关您是谁以及您在哪里的实体信息将始终产生一些攻击机会。
从表面上看,它不会降低您的网站的安全性,因为您只是从外部受损数据源请求数据。
但是,如果 API 数据源已包含,黑客可以通过 API 发送数据,您可以将这些数据保存到您的数据库或显示在您的网站上,因此黑客可能会将恶意脚本插入您的数据库或通过发送各种垃圾数据(脏话、广告色情网站等)造成一些声誉损害您将显示在您的网站上。
一般来说,你给任何系统(现实生活或虚拟)增加的复杂性越多,它被利用的方式就越多,所以在将任何库或依赖项引入代码库之前做一些功课总是好的。
编辑要添加上述内容,OWASP 通过使用受损 API 列出所有风险,做得很好。 https://www.owasp.org/index.php/Top_10_2017-A9-Using_Components_with_Known_Vulnerabilities