开放式 Web 应用程序安全项目 (OWASP) 汇总了应用程序编程接口 (API) 的最大安全风险列表。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
开放式 Web 应用程序安全项目 (OWASP) 是一个非营利组织,其目标是促进 Web 应用程序安全性。OWASP 为任何想要构建安全 Web 应用程序的人提供许多免费资源。
他们最广泛引用的资源之一是 OWASP Top 10,它列出了 Web 应用程序的十大安全问题。
OWASP 还为应用程序编程接口 (API) 维护了一个单独的类似列表,API 是大多数 Web 应用程序的关键构建块。此列表是“OWASP API 十大安全风险”。
截至 2019 年*,OWASP API 十大安全风险包括:
*截至 2021 年 12 月,该列表自 2019 年以来未更新。
想要更深入地了解这 10 个安全风险,请参阅 OWASP 的官方网页。
OWASP Top 10 列表(此处为完整列表)和 OWASP API 十大安全风险列表之间存在一些交叉。例如,注入、失效的身份验证以及日志记录和监控不足都出现在两者中。但是,与 Web 应用程序相比,API 存在的风险略有不同。开发人员应该同时考虑这两个列表。
Cloudflare API Shield 使用分层 API 防御来防御各种针对 API 的攻击。其中的功能包括数据丢失防护(针对 1 号和 3 号风险)、mutual TLS(针对 2 号风险)和速率限制(针对 4 号风险)。请参阅 Cloudflare API Gateway 页面上的完整功能列表。
要了解有关 API 安全的更多信息,请阅读什么是 API 安全?。或进一步了解 API 安全解决方案。