AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
OWASP API Security TOP 10 最終版更新!快來看看有哪些變化!
在數字化時代的今天,API(應用程序接口)的廣泛應用和深入推廣,為我們的生活帶來了便利,也對企業的數據安全提出了全新的挑戰。針對這一情況,OWASP API Security向我們提供了一份寶貴的API安全風險清單,幫助我們理解和應對API安全隱患,實現更安全的數據流通。
OWASP API Security是一項專注于API安全的研究項目,旨在喚醒公眾對API潛在風險的認識,提醒開發人員和安全人員加強對API安全的關注。從2019年首次發布API Security Top 10起,這份清單便以其獨特的視角,準確地揭示了API安全中的重要風險。隨后,2023年的更新版本是 OWASP API Security Top 10 的第二版,距首次發布正好四年。API(安全)領域發生了很多變化。API 流量快速增長讓API 安全獲得更多關注,涌現出許多新的 API 安全供應商/解決方案,當然,攻擊者已經開發出新的技能和技巧來破壞 API。以下是2023年發布的最新的風險清單:
OWASP Top 10 API Security Risks?
– 2023清單
差異分析:
OWASP 2023 年和 2019 年十大 API 列表
該列表與 2019 年十大 API 安全風險相比有不少變化。我們來仔細探究一下2023年與2019年相比,OWASP API Top 10所呈現出的風險變化。
一、
持續不變的風險
對象級別授權失敗 (BOLA)、功能級別授權失敗 (BFLA) 和安全配置錯誤是 2023 年列表中三個不變的 OWASP 十大 API 漏洞類別。他們在名單上的位置也保持不變。
對象級別授權失敗(Broken Object Level Authorization) 在 OWASP API Top 10 2023 列表中仍然排名第一,這個問題在基于 API 的應用程序中極為常見,因為服務器組件通常不會完全跟蹤客戶端的狀態,而是更多地依賴于從客戶端發送的對象 ID 等參數來決定訪問哪些對象。
功能級別授權失敗(Broken Function Level Authorization)和安全配置錯誤(Security Misconfiguration)排名同樣沒有更新,它們仍然很容易被利用,并且可以輕松訪問敏感數據和受限資源。
二、
新增的風險
OWASP API Top 10 2023 新增了對敏感業務無限制訪問、服務器端請求偽造 (SSRF) 和 API 的不安全使用三類。
敏感業務訪問無限制(Unrestricted Access to Sensitive Business Flows)在 OWASP API 2023 年 10 強榜單中排名第 6,缺乏 API 完整的業務視圖往往會導致此問題的存在。
服務端請求偽造(SSRF)登上了最新的 OWASP Top 10 Web 應用程序漏洞榜單,今年也進入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜,主要是由于這些年來SSRF 攻擊的顯著增加,在現代 IT 架構中,越來越多的容器化組件使用 API 通過可預測的路徑進行通信。開發人員還傾向于根據用戶輸入訪問外部資源,例如基于 URL 的文件獲取、自定義單點登錄 (SSO)、URL 預覽等。雖然這些功能增強了應用程序的功能,同樣也使利用 SSRF 漏洞變得更加常見。
API 的不安全使用(Unsafe Consumption of APIs)是2023 年榜單中的第三個新成員,排名第 10。與用戶輸入相比,開發人員更傾向于信任從第三方 API 接收的數據,而當依賴的第三方的API存在風險時將被攻擊者利用。
三、
更新的風險
用戶身份認證失敗(Broken User Authentication )修改為身份認證失敗 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。
損壞的對象屬性級別授權( Broken Object Property Level Authorization),在最新列表中排名第 3,結合了數據過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個漏洞都強調需要正確保護 API參數 ,以防止威脅參與者未經授權的訪問和利用。
資源訪問無限制(Lack of Resources and Rate Limiting )已重命名為資源消耗無限制(Unrestricted Resource Consumption)。以前,重點只放在漏洞上,但現在資源消耗無限制還強調了沒有適當的速率限制和其他資源使用限制的后果。
四、
刪除的風險?
日志和監控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection) 已從 OWASP API Top 10 2023 列表中刪除。
API風險監測:
建設全方位的API安全保護體系
在當今應用程序驅動的世界中,創新的一個基本要素是應用程序編程接口 (API)。從銀行、零售和交通到物聯網、自動駕駛汽車和智能城市,API 是現代移動、SaaS 和 Web 應用程序的重要組成部分,可以在面向客戶、面向合作伙伴和內部的應用程序中找到。從本質上講,API 會暴露應用程序邏輯和敏感數據,例如個人身份信息 (PII),因此,API 越來越成為攻擊者的目標,沒有永遠安全的 API,如何動態的、實時的發現API安全風險成為了當下企業難以解決的問題。
而安恒信息的API風險監測系統以API數據安全為出發點,幫助企業構建全方位的API安全保護體系。
動態資產梳理
系統自動收集和維護所有API的最新信息,形成一個實時更新的API資產清單。這不僅可以幫助企業更好地理解和管理API資產,也是識別并解決安全問題的重要依據。
智能風險監測
系統能夠持續監控API的脆弱性、合規、攻擊風險,包括OWASP API Top 10中列出的各種風險。企業能夠及時了解風險,防范在先,扼殺風險發生的可能。
API全流量審計
系統記錄API的所有操作,形成詳細的審計日志。這不僅可以幫助查明問題的原因,也使得API的運行更為透明,防止不正當操作和內部惡意行為。
這三大功能共同保證了“數據資產可管、安全風險可見、API操作全面留痕”。在這樣全方位的防護體系下,API的安全能夠得到有效的保障,為企業營造安全可控的API環境。
