2023年6月5日,OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年,今年2月时,OWASP曾发布过一个候选版(Candidate),现在终于等到了正式稳定版(stable version)!
该列表与2019版有许多相似之处,但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化;但它们在进化,我们对它们的理解也在进化。2023 年的清单证明了这一点——与其说是新清单,不如说是对现有清单的改进。
让我们一起来看下这份新的列表吧!
API1:2023 - Broken Object Level Authorization 对象级别授权失效
描述:APIs往往公开处理对象标识符的端点,从而创建了一个广泛的攻击面,存在对象级访问控制问题。在使用用户提供的ID访问数据源的每个功能中,应考虑对象级授权检查。
API2:2023 - Broken Authentication 认证失效
描述:身份验证机制通常实施不当,使攻击者能够破坏身份验证令牌或利用实施缺陷暂时或永久地冒用其他用户的身份。损害系统识别客户端/用户的能力,会损害 API 的整体安全性。
API3:2023 - Broken Object Property Level Authorization 对象属性级别授权失效
描述:该类别结合了API3:2019 Excessive Data Exposure和API6:2019 - Mass Assignment,关注根本原因:对象属性级别的授权验证缺失或不当。这会导致信息暴露或被未授权方篡改。
API4:2023 - Unrestricted Resource Consumption 不受限的资源消耗
描述:满足API请求需要网络带宽、CPU、内存和存储等资源。其他资源,如电子邮件/SMS/电话或生物识别验证,通过API集成由服务提供商提供,并按请求付费。成功的攻击可能导致拒绝服务或增加运营成本。
API5:2023 - Broken Function Level Authorization 功能级授权失效
描述:复杂的访问控制策略涉及不同的层级、组和角色,并且在管理和常规功能之间没有明确的分离,往往会导致授权漏洞。通过利用这些问题,攻击者可以访问其他用户的资源和/或管理功能。
API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限访问敏感业务流
描述:易受此风险影响的API会暴露出一种业务流程,比如购买车票或发表评论,而没有考虑到如果以自动化的方式过度使用该功能会对业务造成损害。这不一定是由于实施中的错误引起的。
API7:2023 - Server Side Request Forgery 服务器端请求伪造
描述:当API在未验证用户提供的 URI 的情况下获取远程资源时,可能会出现服务器端请求伪造 (SSRF) 缺陷。这使攻击者能够强制应用程序将精心设计的请求发送到意想不到的目的地,即使受到防火墙或 VPN 的保护。
API8:2023 - Security Misconfiguration 安全配置错误
描述:API和支持它们的系统通常包含复杂的配置,旨在使API更具可定制性。软件和DevOps工程师可能会忽视这些配置,或在配置方面不遵循安全最佳实践,从而为不同类型的攻击打开了大门。
API9:2023 - Improper Inventory Management 存量资产管理不当
描述:API往往比传统的Web应用程序暴露更多的端点,因此正确和更新的文档非常重要。对主机和部署的API版本进行适当的清单管理也很重要,以减轻诸如废弃的API版本和暴露的调试端点等问题。
API10:2023 - Unsafe Consumption of APIs API的不安全使用
描述:开发人员倾向于更信任来自第三方API的数据,而不是用户输入,因此他们倾向于采用较弱的安全标准。为了破坏API,攻击者会攻击集成的第三方服务,而不是直接尝试破坏目标API。
关于OWASP
Open Worldwide Application Security Project (OWASP)是一个非盈利基金会,致力于改善软件的安全性。OWASP是一个开放的社区,致力于帮助组织构思、开发、获取、运营和维护可信赖的应用程序。我们的所有项目、工具、文档、论坛和分支机构都对任何对改进应用安全感兴趣的人免费开放。
OWASP基金会于2001年12月1日成立,并于2004年4月21日正式成为美国非营利慈善机构。
相关链接:
https://owasp.org/API-Security/editions/2023/en/0x11-t10/
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。