开放式 Web 应用程序安全项目 (OWASP) 汇总了应用程序编程接口 (API) 的最大安全风险列表。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
开放式 Web 应用程序安全项目 (OWASP) 是一个非营利组织,其目标是促进 Web 应用安全。OWASP 提供了许多免费资源,以构建更安全的 Web 应用。
该组织被最广泛引用的资源之一是 OWASP Top 10,其中列出了 Web 应用的十大安全问题。OWASP 还为应用编程接口 (API) 维护了一个单独的类似清单,这对于支持大多数 Web 和移动体验至关重要。
API 可以通过提供商业智能、促进云部署和实现 AI 功能集成,为企业增强竞争优势。但与此同时,API 可能会引入新的风险,因为它允许外部各方访问应用、共享数据和运行潜在敏感的工作流程。
本 OWASP API Security Top 10 最新发布于 2023 年,强调了组织应解决的关键问题,以更好地保护其 API、应用和数据。该清单包括:
要进一步了解这 10 个安全风险,请参阅 OWASP 的官方网页。
OWASP Top 10 清单(点击此处获取完整清单)和 OWASP API Security Top 10 清单之间存在一些交叉。例如,访问控制失效是 OWASP Top 10 清单中的第一位,而 API 清单的前五个安全问题中也存在各种形式的身份验证和授权失效。此外,安全错误配置和服务器端请求伪造也同时出现在两个清单中。
然而,与 Web 应用相比,API 确实存在一些独特的风险。开发人员应该同时考虑这两个清单。
Cloudflare API Shield 通过 API 发现功能、集中式 API 管理和监测,以及创新的分层防御,帮助确保 API 安全并正常运行。API Shield 是 Cloudflare 应用安全产品组合的一部分,此产品组合提供额外的功能,用于阻止机器人攻击、DDoS 攻击和应用攻击,同时监测供应链攻击。
了解 Cloudflare 功能如何应对 OWASP API Security Top 10 中详述的特定风险,并探索 Cloudflare 的更多 API 安全解决方案。
OWASP 是一个非营利组织,通过提供免费的资源(例如安全最佳实践和风险列表)来帮助企业保护其应用,从而促进 Web 应用安全。
OWASP API 安全十大风险是 API 面临的最严重安全风险列表。它有助于企业了解并解决 API 设计和实施中的常见漏洞。
“授权失效”可能是指许多 API OWASP 风险:对象级授权失效、对象属性级授权失效,以及函数级授权失效。这三种漏洞都可能会让攻击者暴露或操控敏感数据。
主要的 API 风险包括无限制的资源消耗、服务器端请求伪造 (SSRF) 以及不良的 API 库存管理,所有这些都可能导致数据泄露或服务中断。
如果 API 未能正确验证用户,就会出现身份验证漏洞,这让攻击者能够冒充合法用户,未经授权访问敏感数据。
当 API 与外部服务交互时,可能会产生第三方 API 风险。攻击者可能会将外部服务作为攻击目标,而不是直接攻击 API,尤其是当 API 倾向于信任来自这些第三方服务的数据时。
Cloudflare API Shield 是一种解决方案,通过提供 API 发现、集中管理、监测以及分层安全防御功能,帮助企业保护 API 安全。
这两份列表都对常见的安全风险进行了分类。OWASP API 十大安全风险列表专用于 API,而 OWASP Web 应用十大安全风险列表则具有普适性。API 几乎总是 Web 应用基础设施的重要组成部分,因此,拥有强烈安全意识的 Web 应用开发人员应该充分考虑这两份列表。API 与 Web 应用面临的安全风险类型存在一些重叠,例如访问控制失效和服务器端请求伪造问题,但 API 与 Web 应用针对这些风险实施的解决方案略有不同。
业务流程漏洞利用是指攻击者滥用合法的 API 工作流程(例如,进行过度购买或预订),以破坏业务运营。