OWASP API 安全項目旨在解決越來越多的組織將潛在敏感 API 作為其軟件產品的一部分進行部署的問題,這些 API 通常用于內部任務和與第三方的接口。不幸的是,許多 API 沒有經過嚴格的安全測試。OWASP API 安全項目通過強調不安全 API 中的潛在風險,并說明如何減輕這些風險,為軟件開發(fā)人員和安全評估人員提供價值。為了實現(xiàn)這一目標,OWASP AP I安全項目創(chuàng)建了一份 10 大 API 安全風險文名單。
(資料圖片)
2023 年 OWASP十大 API 安全風險清單API 1:中斷的對象級授權API 傾向于暴露處理對象標識符的端點,從而創(chuàng)造出對象級訪問控制問題的廣泛攻擊面。因此在使用用戶 ID 訪問數(shù)據(jù)源的每個函數(shù)中,應當考慮執(zhí)行對象級授權檢查。
API 2:無效的身份認證身份驗證機制通常實施不正確,允許攻擊者破壞身份驗證令牌或利用實現(xiàn)缺陷暫時或永久假定其他用戶的身份,損害系統(tǒng)識別客戶端/用戶的能力,會損害整體 API 安全性。
API 3:失效的對象屬性級授權此類別結合了 API 3:2019-過度的數(shù)據(jù)泄露和 API 6:2019-批量分配,關注的根本原因是對象屬性級缺乏授權驗證或驗證不當,從而導致信息泄露或越權訪操縱。
API 4:不受限制的資源消耗滿足 API 請求需要網(wǎng)絡帶寬、CPU、內存和存儲等資源。其它資源如郵件/SMS/電話通話或生物特征驗證由服務提供商通過 API 集成提供并按照請求進行支付,如果攻擊成功可導致拒絕服務后果或運營成本上升。
API 5:無效的功能級授權具有不同層次結構、組和角色的復雜訪問控制策略,以及管理功能和常規(guī)功能之間的不明確分離,往往會導致授權缺陷。通過利用這些問題,攻擊者可以訪問其他用戶的資源和/或管理功能。
API 6:對敏感業(yè)務流程的無限制訪問易受到此風險影響的 API 會暴露業(yè)務流(例如買票或發(fā)布評論),而不會彌補如果以自動化方式過度使用,該功能如何對業(yè)務造成損害,這一風險不一定源自實現(xiàn)問題。
API 7:服務器端請求偽造當 API 在沒有驗證用戶所提供 URI 的情況下提取遠程資源時,可能就會引發(fā)服務器端請求偽造 (SSRF) 缺陷,這可以可使攻擊者誘騙應用程序將構造的請求發(fā)送給未預期目的地,甚至即使受到了防火墻或 VPN 的保護也是如此。
API 8:安全配置錯誤API 和支持它們的系統(tǒng)通常包含復雜的配置,旨在使 API 更具可定制性。軟件和 DevOps 工程師可能會錯過這些配置或者在配置時不遵循安全最佳實踐,從而為不同類型的攻擊打開了大門。
API 9:清單管理不當與傳統(tǒng)的 Web 應用程序相比,API 往往會公開更多的端點,因此正確和更新的文檔非常重要。主機和已部署 API 版本的適當清單對于緩解已棄用的 API 版本和公開的調試終結點等問題也很重要。
API 10:不安全的 API 消耗開發(fā)人員偏向于信任從第三方 API 接收的數(shù)據(jù)而不是用戶輸入的數(shù)據(jù),因此傾向于采用較弱的安全標準。為了破壞 API,攻擊者會攻擊集成的第三方服務,而不是試圖直接破壞目標 API。
文章來源:https://owasp.org/API-Security/editions/2023/en/0x11-t10/
標簽: