OWASP十大API安全风险排名

OWASP是一个致力于提升Web应用程序安全的非营利组织，它提供了一系列的安全项目、工具、文档和技术资源，帮助开发人员、安全专家和组织构建和维护安全的Web应用程序。考虑到API技术的快速发展和威胁演变，最近OWASP更新发布了2023 OWASP API安全十大风险，旨在帮助人们在应用程序开发时规避常见的API安全风险。

对象级授权失败源于API端点上缺乏适当的访问控制，从而允许未经授权的用户访问和修改敏感数据。BOLA在所有API攻击中约占40%，是最常见的API安全威胁。对象级授权失败API漏洞自2019年以来一直是OWASP列表中的第一大漏洞，并在2023年版本中同样保持首位。

对象属性级别授权失败合并了通过过度数据暴露（之前在2019年OWASP API安全10大问题中排名第三）或大规模分配（之前在2017年列表中排名第六）获得对敏感信息的未经授权访问而发生的攻击。这两种技术都基于API端点操作来访问敏感数据。

此漏洞源于未正确实现或忽视实现资源消耗限制的API，使其极易受到暴力攻击。“无限制资源消耗”取代了OWASP API Security Top 10（缺乏资源和速率限制）中的前4位。然而，尽管名称发生了变化，但该漏洞总体上保持不变。

当未正确实施授权时，会形成此威胁，导致未经授权的用户能够执行API功能，例如添加、更新或删除客户记录或用户角色。自2019年以来，BFLA一直保持着第五名的位置。

当用户控制的URL通过API传递并由后端服务器执行和处理时，就会发生服务器端请求伪造。如果后端服务器试图连接到用户提供的URL，就会出现API安全风险，这为SSRF打开了大门。此威胁已取代Mass Assignment，成为OWASP API十大安全列表中的第7名。

这种威胁是由于过时或不完整的清单造成的，这可能会在API攻击面中产生未知的漏洞，从而使识别应该淘汰的旧版本API变得困难。不当的存量管理已经取代不当的资产管理，成为OWASP API安全性前十名中的第9名，虽然名称已经改变，以强调准确和最新的API存量的重要性，但威胁仍然是一样的。Optus的漏洞就是一个很好的例子。Optus是澳大利亚第二大电信公司，由于“被遗忘”的API暴露给公众，导致超过1120万客户记录被曝光。

API的不安全使用漏洞源于API客户端对API的不当使用，例如绕过API身份验证安全控制或操纵API响应，这可能导致未经授权的访问和数据暴露。可以通过使用API数据本身或滥用第三方集成问题来利用此API漏洞。API的不安全使用已经取代了不充分的日志记录和监控，成为OWASP API安全性前十名中的第10名。与此类别最相关的例子是臭名昭著的Log4Shell攻击。