Introdução A interface de programação de aplicativos (comumente conhecida como API ­
Application Programming Interface
) é uma tecnologia emergente usada para a integração de aplicações utilizando a tecnologia Web. Essa aproximação entre os aplicativos e a web sofreu uma explosão de popularidade nesses últimos tempos, pois é construída baseada em técnicas já bem conhecidas, além de potencializar o uso de algumas infraestruturas existentes. Porém, é um erro pensar que as mesmas técnicas que tornam seguras as navegações costumeiras na Internet poderiam ser igualmente aplicadas às APIs. Embora seja verdade que as APIs compartilhem de muitas das mesmas falhas de segurança que amedrontavam a navegação Web, essa última é fundamentalmente diferente das primeiras, que possuem seus riscos próprios, e que devem ser documentados. Este informativo técnico visa examinar tanto os vetores de ameaça tradicionais, associados a tecnologia Web, quanto a nova classe de riscos que surge dessa diferença fundamental entre as APIs e os Websites. Felizmente existem soluções que cobrem simultaneamente ambos os vetores citados. Depois de adotada uma arquitetura segura para as APIs, as organizações poderão desfrutar, sem preocupações, de todas as vantagens, integração e agilidade prometidas por essa nova e emocionante tecnologia. As três grandes categorias de risco É muito fácil ficar espantado com a longa lista de ataques que podem ser lançados contra uma API. Para piorar: já que cada API é única, cada uma delas carrega seus próprios riscos e vulnerabilidades, inerentes da sua implementação. A princípio, isso faria com que a segurança das APIs parecesse impossível, mas por sorte, a maioria dos ataques direcionados às APIs se encaixam em três grandes categorias: ●