OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!

admin
admin
admin
102772
文章
87
评论
2023年6月25日10:08:08评论86 views字数 2195阅读7分19秒阅读模式

OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!

在数字化时代的今天,API(应用程序接口)的广泛应用和深入推广,为我们的生活带来了便利,也对企业的数据安全提出了全新的挑战。针对这一情况,OWASP API Security向我们提供了一份宝贵的API安全风险清单,帮助我们理解和应对API安全隐患,实现更安全的数据流通。
OWASP API Security是一项专注于API安全的研究项目,旨在唤醒公众对API潜在风险的认识,提醒开发人员和安全人员加强对API安全的关注。从2019年首次发布API Security Top 10起,这份清单便以其独特的视角,准确地揭示了API安全中的重要风险。随后,2023年的更新版本是 OWASP API Security Top 10 的第二版,距首次发布正好四年。API(安全)领域发生了很多变化。API 流量快速增长让API 安全获得更多关注,涌现出许多新的 API 安全供应商/解决方案,当然,攻击者已经开发出新的技能和技巧来破坏 API。以下是2023年发布的最新的风险清单:
OWASP Top 10 API Security Risks

– 2023清单

OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!
OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!
差异分析:

OWASP 2023 年和 2019 年十大 API 列表

列表与 2019 年十大 API 安全风险相比有不少变化。我们来仔细探究一下2023年与2019年相比,OWASP API Top 10所呈现出的风险变化。

一、
持续不变的风险
对象级别授权失败 (BOLA)、功能级别授权失败 (BFLA) 和安全配置错误是 2023 年列表中三个不变的 OWASP 十大 API 漏洞类别。他们在名单上的位置也保持不变。
对象级别授权失败(Broken Object Level Authorization) 在 OWASP API Top 10 2023 列表中仍然排名第一,这个问题在基于 API 的应用程序中极为常见,因为服务器组件通常不会完全跟踪客户端的状态,而是更多地依赖于从客户端发送的对象 ID 等参数来决定访问哪些对象。
功能级别授权失败(Broken Function Level Authorization)和安全配置错误(Security Misconfiguration)排名同样没有更新,它们仍然很容易被利用,并且可以轻松访问敏感数据和受限资源。
二、
新增的风险
OWASP API Top 10 2023 新增了对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。
敏感业务访问无限制(Unrestricted Access to Sensitive Business Flows)在 OWASP API 2023 年 10 强榜单中排名第 6,缺乏 API 完整的业务视图往往会导致此问题的存在。
服务端请求伪造(SSRF)登上了最新的 OWASP Top 10 Web 应用程序漏洞榜单,今年也进入了 API Top 10 榜单。SSRF 在 2023 API 前 10 名榜单中排名第 7。SSRF 之所以能上榜,主要是由于这些年来SSRF 攻击的显着增加,在现代 IT 架构中,越来越多的容器化组件使用 API 通过可预测的路径进行通信。开发人员还倾向于根据用户输入访问外部资源,例如基于 URL 的文件获取、自定义单点登录 (SSO)、URL 预览等。虽然这些功能增强了应用程序的功能,同样也使利用 SSRF 漏洞变得更加常见。
API 的不安全使用(Unsafe Consumption of APIs)是2023 年榜单中的第三个新成员,排名第 10。与用户输入相比,开发人员更倾向于信任从第三方 API 接收的数据,而当依赖的第三方的API存在风险时将被攻击者利用。
三、
更新的风险
用户身份认证失败(Broken User Authentication )修改为身份认证失败 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。
损坏的对象属性级别授权( Broken Object Property Level Authorization),在最新列表中排名第 3,结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。这两个漏洞都强调需要正确保护 API参数 ,以防止威胁参与者未经授权的访问和利用。
资源访问无限制(Lack of Resources and Rate Limiting )已重命名为资源消耗无限制(Unrestricted Resource Consumption)。以前,重点只放在漏洞上,但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果
四、
删除的风险
日志和监控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection) 已从 OWASP API Top 10 2023 列表中删除。

OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!

API风险监测:

建设全方位的API安全保护体系

在当今应用程序驱动的世界中,创新的一个基本要素是应用程序编程接口 (API)。从银行、零售和交通到物联网、自动驾驶汽车和智能城市,API 是现代移动、SaaS 和 Web 应用程序的重要组成部分,可以在面向客户、面向合作伙伴和内部的应用程序中找到。从本质上讲,API 会暴露应用程序逻辑和敏感数据,例如个人身份信息 (PII),因此,API 越来越成为攻击者的目标,没有永远安全的 API,如何动态的、实时的发现API安全风险成为了当下企业难以解决的问题。

原文始发于微信公众号(安恒信息):OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月25日10:08:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!http://cn-sec.com/archives/1831188.html

发表评论

匿名网友 填写信息