1. IT分享知识网首页
  2. 未分类

从OWASP API Security TOP 10谈API安全

老牧童 未分类

从OWASP API Security TOP 10谈API安全API 安全是个持续的过程 要求开发者 操作和安全团队协作确保 API 面临的风险得到恰当管理

大家好,欢迎来到IT知识分享网。

1.前言

应用程序编程接口(API)是当今应用驱动世界创新的一个基本元素。从银行、零售、运输到物联网、 自动驾驶汽车、智慧城市,API 是现代移动、SaaS 和 web 应用程序的重要组成部分,可以在面向客 户、面向合作伙伴和内部的应用程序中找到。 从本质上讲,API 暴露了应用程序逻辑和敏感数据,如个人身份信息(PII),因此,API 越来越 成为攻击者的目标。如果没有安全的 API,快速创新是不可能的。 尽管更广泛的 web 应用程序安全风险 Top 10 仍然有意义,但由于 API 特殊性质,需要一份特 定于 API 的安全风险列表。API 安全侧重于策略和解决方案,以了解和减轻与 API 相关的独特漏洞和 安全风险。

2. API安全 top 10

2.1 API1: 2023 对象级授权失效

从OWASP API Security TOP 10谈API安全

2.1.1 API脆弱点

对象级授权是一种通常在代码层面开发实施的访问控制机制,用于验证用户只能访问其具有 权限的对象。

每个可以接收对象 ID 并对对象执行操作的 API 端点,都应该实施对象级授权检查。这些检 查应验证已登录用户是否具有执行请求的操作权限。这种机制的失效通常会导致未经授权的信息 泄露、篡改或破坏。仅仅将当前会话的用户 ID(例如,从 JWT 令牌中提取)与存在漏洞的 ID 参 数进行比较,只能解决一小部分情况,并不足以解决对象级授权失效(BOLA)问题。

在 BOLA 的情况下,用户有意被授予对存在漏洞的 API 端点 / 功能的访问权限。违规行为发 生在对象级别,通过操纵 ID 来实现。如果攻击者成功访问了本应无权访问的 API 端点 / 功能, 那就是 API5:2023 功能级授权(BFLA,Broken Function Level Authorization)问题,而不是 BOLA。

2.1.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

2.1.3 预防措施

· 实施正确的授权机制,依赖于用户策略和层级结构。

· 使用授权机制检查已登录用户是否具有执行所请求操作的记录的访问权限,以及在每个使用 来自客户端的输入访问数据库记录的功能中执行该检查。

· 优先使用随机且不可预测的值作为记录 ID 的 GUID。

· 编写测试以评估授权机制的漏洞。不要部署测试失败的更改。

2.2 API2:2023 用户身份验证失效

从OWASP API Security TOP 10谈API安全

2.2.1 API脆弱点

2.2.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

2.2.3 预防措施

2.3 API3:2023 对象属性级授权失效

从OWASP API Security TOP 10谈API安全

2.3.1 API脆弱点

2.3.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

2.3.3 预防措施

2.4 API4:2023 资源消耗不受限制

从OWASP API Security TOP 10谈API安全

2.4.1 API脆弱点

2.4.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

2.4.3 预防措施

2.5 API5:2023 功能级授权失效

从OWASP API Security TOP 10谈API安全

2.5.1 API脆弱点

2.5.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

2.5.3 预防措施

2.6 API6:2023 对敏感业务流的无限制访问

从OWASP API Security TOP 10谈API安全

2.6.1 API脆弱点

2.6.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

2.6.3 预防措施

2.7 API7:2023 服务器端请求伪造

从OWASP API Security TOP 10谈API安全

2.7.1 API脆弱点

2.7.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

2.7.3 预防措施

2.8 API8:2023 安全配置错误

从OWASP API Security TOP 10谈API安全

2.8.1 API脆弱点

2.8.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

2.8.3 预防措施

2.9 API9:2023 库存管理不当

从OWASP API Security TOP 10谈API安全

2.9.1 API脆弱点

2.9.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

2.9.3 预防措施

2.10 API10:2023 API 的不安全使用

2.10.1 API脆弱点

2.10.2 攻击场景示例

从OWASP API Security TOP 10谈API安全

从OWASP API Security TOP 10谈API安全

2.10.3 预防措施

3. 一些API安全有关的记录

3.1 一次API安全有关的讲座2024年4月23日

标题:Effectively Safeguarding Your APIs: From Discovery to Defense

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

从OWASP API Security TOP 10谈API安全

这个

3.2 山石网科的一份API安全的博文

微信看到的,上链接

浅谈API漏洞挖掘 (.com)

后续补充。

3.3 API渗透测试关注点

4.最后

API安全是个持续的过程,要求开发者、操作和安全团队协作确保API面临的风险得到恰当管理。遵循OWASP API Security Top 10是创建一个更安全API生态系统的基础。在构建API时,要确保考虑到这些主要的安全问题,并在API的整个生命周期中持续关注安全保障。

参考:

OWASP API Security TOP 10中文项目 2023

OWASP API Security TOP 10中文项目 — OWASP-CHINA

OWASP Top 10 API Security Risks – 2023 – OWASP API Security Top 10

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/121035.html

(0)
老牧童老牧童
0
上一篇 2025-10-25 22:00
下一篇 2025-10-25 22:15

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信