API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。

是一组定义、程序及协议的集合，通过API接口实现计算机软件之间的相互通信。API的一个主要功能是提供通用功能集。程序员通过调用API函数对应用程序进行开发，可以减轻编程任务。API同时也是一种中间件，为各种不同平台提供数据共享。

API安全就是指保护应用程序编程接口(API)免受未经授权的访问、滥用和恶意攻击等的一系列措施和方式，

API安全通常包括接口的信息安全、数据安全以及应用安全。

应用系统安全审计产品（API审计）是一款聚焦于应用API接口本身和数据安全的产品，通过主动监听应用/API中的所有接口，在不改造业务的前提下，实现API接口自动发现、敏感数据动态识别、资产分类分级管理、API接口安全脆弱性检测、API安全风险感知；让API资产清晰可见、让敏感数据流转可査、让API安全风险无所遁形。

对关注的关键应用、敏感接口等各类资产，系统提供全方位、多维度的资产画像展现，图表展示应用、接口资产的访问请求、用户账号及客户端IP的基本情况，敏感数据访问趋势和关联风险等。

系统支持多种风险监测规则，涉及接口自身脆弱性识别和接口异常行为风险发现，覆盖owasp API安全风险十大清单

全面审计：支持对访问资产的客户端、账号，以满足追踪溯源的要求；支持对请求时间、域名、客户端及服务端IP、接口等信息进行审计；支持对响应详情、响应头、请求头进行审计。

特定场景下通过响应数据的差异特征可判断是否存在接口二次封装的情况

1、如果是定向数据需求，如存在地域限制，可采取内容学习的方式比如A单位申请B单位的数据，那请求数据与调用系统中的应用名称不对应，可以判断是非法调用或者二次包装。

2、如果是通用型接口数据，如全省医疗信息，可在api发布时要求在输出内容中加入标记，如 申请城市、申请单位、申请用途等，那请求数据与①调用系统中的应用名称不对应，也可以判断出问题。

API接口安全风险评估：共享接口公共数据安全风险评估服务主要是依据国家、行业等有关数据安全技术与管理标准，从风险管理的角度，对共享接口重要数据资产和接口的重要程度进行分析，确定重点评估对象，识别评估对象所涉及的各类应用场景，评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性，分析计算数据资产的风险值，并结合组织实际情况，给出合理化数据资产风险处置建议。