高防服务器API有哪些常见误区

关于高防服务器API的常见误区，以下是一些主要的误区：
### 误区一：WAF、API网关、渗透测试等策略能完全保护API
- WAF的保护范围有限：WAF（Web应用防火墙）在一定程度上可以防御诸如注入、跨站点脚本、CSRF、会话劫持和Cookie中毒等API攻击，但无法保护API上流动的数据安全问题，缺乏对0day攻击以及OWASP API Top10中许多业务逻辑方面的漏洞攻击的保护，也不具备Bot检测、低频慢速的攻击行为分析功能。
- API网关的功能不足：API网关旨在管理API的生命周期、转换协议、路由API调用等，虽然具有身份验证和基于签名的引擎等功能，但不足以提供有效的API保护，无法阻止使用已获取认证凭证的攻击，也无法解决所有未记录和未托管的API安全问题。
- 渗透测试和IAST工具的局限性：定期的渗透测试和IAST工具的自动化测试可以减少API设计开发方面的漏洞，但无法覆盖所有API，尤其是敏捷研发时代API的研发迭代速度很快，自动化测试不能确保每一个API都被测试到，也难以覆盖利用多个API逻辑组合实现的复杂攻击场景。
### 误区二：不连接互联网环境下的API是足够安全的
- 内网应用仍可能受到攻击：很多安全人员认为没有连接互联网的内网应用就是安全的，但攻击者可以利用服务器端请求伪造（SSRF）之类的API漏洞，以某一台被攻陷的服务器为跳板，攻击企业内网上的应用。
### 误区三：只允许通过VPN访问的API是安全的
- VPN并非绝对安全：一些企业认为只允许通过VPN访问的API是安全的，但在新冠疫情之后，远程工作模式流行起来，VPN已成为企业普遍使用的远程访问工具，仅通过VPN访问并不能完全保证API的安全性。
通过了解这些常见误区，企业可以更好地加强API的安全防护措施，减少潜在的安全风险。