APIs 往往公开处理对象标识符的端点，从而创建了一个广泛的攻击面，存在对象级访问控制问题。在使用用户提供的 ID 访问数据源的每个功能中，应考虑对象级授权检查。

身份验证机制通常实施不当，使攻击者能够破坏身份验证令牌或利用实施缺陷暂时或永久地冒用其他用户的身份。损害系统识别客户端/用户的能力，会损害 API 的整体安全性。

该类别结合了 API 3:2019 Excessive Data Exposure 和 API6:2019 - Mass Assignment，关注根本原因：对象属性级别的授权验证缺失或不当。这会导致信息暴露或被未授权方篡改。

满足 API 请求需要网络带宽、CPU、内存和存储等资源。其他资源，如电子邮件/SMS/电话或生物识别验证，通过 API 集成由服务提供商提供，并按请求付费。成功的攻击可能导致拒绝服务或增加运营成本。

复杂的访问控制策略涉及不同的层级、组和角色，并且在管理和常规功能之间没有明确的分离，往往会导致授权漏洞。通过利用这些问题，攻击者可以访问其他用户的资源和/或管理功能。

易受此风险影响的 API 会暴露出一种业务流程，比如购买车票或发表评论，而没有考虑到如果以自动化的方式过度使用该功能会对业务造成损害。这不一定是由于实施中的错误引起的。

当API在未验证用户提供的 URI 的情况下获取远程资源时，可能会出现服务器端请求伪造 (SSRF) 缺陷。这使攻击者能够强制应用程序将精心设计的请求发送到意想不到的目的地，即使受到防火墙或 VPN 的保护。

API 和支持它们的系统通常包含复杂的配置，旨在使API更具可定制性。软件和DevOps 工程师可能会忽视这些配置，或在配置方面不遵循安全最佳实践，从而为不同类型的攻击打开了大门。

API 往往比传统的 Web 应用程序暴露更多的端点，因此正确和更新的文档非常重要。对主机和部署的API版本进行适当的清单管理也很重要，以减轻诸如废弃的API版本和暴露的调试端点等问题。

开发人员倾向于更信任来自第三方 API 的数据，而不是用户输入，因此他们倾向于采用较弱的安全标准。为了破坏 API，攻击者会攻击集成的第三方服务，而不是直接尝试破坏目标 API。

• 用户身份认证失败（Broken User Authentication ）修改为身份认证失败 （Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

• 损坏的对象属性级别授权（ Broken Object Property Level Authorization），在最新列表中排名第 3，结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。这两个漏洞都强调需要正确保护 API参数 ，以防止威胁参与者未经授权的访问和利用。

• 资源访问无限制（Lack of Resources and Rate Limiting ）重命名为资源消耗无限制（Unrestricted Resource Consumption）。以前，重点只放在漏洞上，但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果。