数字经济的安全基石

首页 > 关于我们 > 安恒动态 > 2023 > 正文

OWASP API Security TOP 10 最终版更新!快来看看有哪些变化!

阅读量:文章来源:2024新奥门资料



在数字化时代的今天,API(应用程序接口)的广泛应用和深入推广,为我们的生活带来了便利,也对企业的数据安全提出了全新的挑战。针对这一情况,OWASP API Security向我们提供了一份宝贵的API安全风险清单,帮助我们理解和应对API安全隐患,实现更安全的数据流通。

OWASP API Security是一项专注于API安全的研究项目,旨在唤醒公众对API潜在风险的认识,提醒开发人员和安全人员加强对API安全的关注。从2019年首次发布API Security Top 10起,这份清单便以其独特的视角,准确地揭示了API安全中的重要风险。随后,2023年的更新版本是 OWASP API Security Top 10 的第二版,距首次发布正好四年。API(安全)领域发生了很多变化。API 流量快速增长让API 安全获得更多关注,涌现出许多新的 API 安全供应商/解决方案,当然,攻击者已经开发出新的技能和技巧来破坏 API。以下是2023年发布的最新的风险清单:

OWASP Top 10 API Security Risks 

– 2023清单

差异分析:

OWASP 2023 年和 2019 年十大 API 列表

该列表与 2019 年十大 API 安全风险相比有不少变化。我们来仔细探究一下2023年与2019年相比,OWASP API Top 10所呈现出的风险变化。

一、

持续不变的风险

对象级别授权失败 (BOLA)、功能级别授权失败 (BFLA) 和安全配置错误是 2023 年列表中三个不变的 OWASP 十大 API 漏洞类别。他们在名单上的位置也保持不变。


对象级别授权失败(Broken Object Level Authorization) 在 OWASP API Top 10 2023 列表中仍然排名第一,这个问题在基于 API 的应用程序中极为常见,因为服务器组件通常不会完全跟踪客户端的状态,而是更多地依赖于从客户端发送的对象 ID 等参数来决定访问哪些对象。

功能级别授权失败(Broken Function Level Authorization)和安全配置错误(Security Misconfiguration)排名同样没有更新,它们仍然很容易被利用,并且可以轻松访问敏感数据和受限资源。


二、

新增的风险

OWASP API Top 10 2023 新增了对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。

敏感业务访问无限制(Unrestricted Access to Sensitive Business Flows)在 OWASP API 2023 年 10 强榜单中排名第 6,缺乏 API 完整的业务视图往往会导致此问题的存在。

服务端请求伪造(SSRF)登上了最新的 OWASP Top 10 Web 应用程序漏洞榜单,今年也进入了 API Top 10 榜单。SSRF 在 2023 API 前 10 名榜单中排名第 7。SSRF 之所以能上榜,主要是由于这些年来SSRF 攻击的显着增加,在现代 IT 架构中,越来越多的容器化组件使用 API 通过可预测的路径进行通信。开发人员还倾向于根据用户输入访问外部资源,例如基于 URL 的文件获取、自定义单点登录 (SSO)、URL 预览等。虽然这些功能增强了应用程序的功能,同样也使利用 SSRF 漏洞变得更加常见。

API 的不安全使用(Unsafe Consumption of APIs)是2023 年榜单中的第三个新成员,排名第 10。与用户输入相比,开发人员更倾向于信任从第三方 API 接收的数据,而当依赖的第三方的API存在风险时将被攻击者利用。


三、

更新的风险

用户身份认证失败(Broken User Authentication )修改为身份认证失败 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

损坏的对象属性级别授权( Broken Object Property Level Authorization),在最新列表中排名第 3,结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。这两个漏洞都强调需要正确保护 API参数 ,以防止威胁参与者未经授权的访问和利用。

资源访问无限制(Lack of Resources and Rate Limiting )已重命名为资源消耗无限制(Unrestricted Resource Consumption)。以前,重点只放在漏洞上,但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果


四、

删除的风险 

日志和监控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection) 已从 OWASP API Top 10 2023 列表中删除。


API风险监测:

建设全方位的API安全保护体系

在当今应用程序驱动的世界中,创新的一个基本要素是应用程序编程接口 (API)。从银行、零售和交通到物联网、自动驾驶汽车和智能城市,API 是现代移动、SaaS 和 Web 应用程序的重要组成部分,可以在面向客户、面向合作伙伴和内部的应用程序中找到。从本质上讲,API 会暴露应用程序逻辑和敏感数据,例如个人身份信息 (PII),因此,API 越来越成为攻击者的目标,没有永远安全的 API,如何动态的、实时的发现API安全风险成为了当下企业难以解决的问题。

恒信息的API风险监测系统以API数据安全为出发点,帮助企业构建全方位的API安全保护体系。

动态资产梳理

系统自动收集和维护所有API的最新信息,形成一个实时更新的API资产清单。这不仅可以帮助企业更好地理解和管理API资产,也是识别并解决安全问题的重要依据。

智能风险监测

系统能够持续监控API的脆弱性、合规、攻击风险,包括OWASP API Top 10中列出的各种风险。企业能够及时了解风险,防范在先,扼杀风险发生的可能。

API全流量审计

系统记录API的所有操作,形成详细的审计日志。这不仅可以帮助查明问题的原因,也使得API的运行更为透明,防止不正当操作和内部恶意行为。


这三大功能共同保证了“数据资产可管、安全风险可见、API操作全面留痕”。在这样全方位的防护体系下,API的安全能够得到有效的保障,为企业营造安全可控的API环境。




关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
2024新奥门资料联系方式