遊戲開發者面臨 API 安全挑戰：關鍵策略與戰術大揭秘

- [2023 TGDF 台北遊戲開發者論壇](https://2023.tgdf.tw/) - [共筆目錄](https://hackmd.io/@bogay/TGDF-2023) ## 講者介紹 [Jerry Chen](https://2023.tgdf.tw/speakers/jerry-chen) 現職蓋亞資訊－業務經理；致力於雲端產業達 4 年時間。協助遊戲/企業/新創客戶在雲端使用上更具效益及效率。蓋亞資訊主要提供雲端平台及資安服務，亦代理多種開發工具及 CDN/防禦產品，提供遊戲業客戶最佳且最全面之解決方案。與蓋亞合作，我們提供優質的服務給您，也讓您提供玩家更好的遊戲體驗。 ## 議程介紹本議程將介紹： API 安全在遊戲開發的重要角色 API 安全風險概述如何確保 API 安全身份認證與授權方法用戶輸入驗證與數據過濾保護機密資訊：加密與資料去識別化設定適當的 HTTP 安全標頭主流 API 防護產品防禦手段遊戲開發 API 安全案例分析目標對象：遊戲開發者、軟體工程師、系統架構師、資安人員、維運人員等。預期收穫：了解 API 常見漏洞以及其所造成的風險，如 Owasp API Top 10 等，並學習如何防範這些漏洞。 # 內容筆記  ## API 安全風險 - [OWASP API Top 10](https://owasp.org/www-project-api-security/) - 如果 API 的安全不足，使用者可以去訪問他不該訪問的 API - 從而導致資料錯誤、資訊洩漏或服務中斷 - 其他 - 不安全的 API 端點 - 不安全的資料傳輸 - etc. ## API 安全在遊戲開發的重要角色 - 身分認證與授權 - e.g. OAuth, JWT - 用戶輸入認證 - 避免諸如 SQL injection 等攻擊 - 保護機密資訊：加密、去識別化 - 設定適當的 HTTP 標頭 - 主流 API 防護產品 / 手段 ## Imperva API Security 的優勢 - 提供 API 安全檢測 - 支援 k8s, AWS lambda 等多種環境 - 提供整個組織統一的解決方案 ## 遊戲開發 API 安全案例分析某家遊戲公司 - 佈署 Imperva API Security 套件 - 為 API 團隊提供了基礎安全，也為安全團隊提供了 API 呼叫列表...？ - 持續監控 API, 注意風險問題 - 透過套件，可以輕鬆監測、不需要花費大量時間或心力注意 ### User, API, 攻擊者可能的流程結構 ![](https://hackmd.io/_uploads/Bk2YpfFc2.png) - User Request 包含敏感資料。攻擊者攔截請求，就可能拿到。 - 可能成因：中間連線不安全（MITM?） - 可能因此盜用身分、甚或竊取資訊 - 解決方法：加密、更新 API 安全設定等 ## 小結透過 API 安全套件，不僅可以減少安全問題，也能降低所需投入的心力、避免未來的法律問題等。