首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

OWASP API Security TOP 10 最終版更新！快來看看有哪些變化！

閱讀量：次 文章來源：安恒信息

在數(shù)字化時(shí)代的今天，API（應(yīng)用程序接口）的廣泛應(yīng)用和深入推廣，為我們的生活帶來了便利，也對(duì)企業(yè)的數(shù)據(jù)安全提出了全新的挑戰(zhàn)。針對(duì)這一情況，OWASP API Security向我們提供了一份寶貴的API安全風(fēng)險(xiǎn)清單，幫助我們理解和應(yīng)對(duì)API安全隱患，實(shí)現(xiàn)更安全的數(shù)據(jù)流通。

OWASP API Security是一項(xiàng)專注于API安全的研究項(xiàng)目，旨在喚醒公眾對(duì)API潛在風(fēng)險(xiǎn)的認(rèn)識(shí)，提醒開發(fā)人員和安全人員加強(qiáng)對(duì)API安全的關(guān)注。從2019年首次發(fā)布API Security Top 10起，這份清單便以其獨(dú)特的視角，準(zhǔn)確地揭示了API安全中的重要風(fēng)險(xiǎn)。隨后，2023年的更新版本是 OWASP API Security Top 10 的第二版，距首次發(fā)布正好四年。API（安全）領(lǐng)域發(fā)生了很多變化。API 流量快速增長讓API 安全獲得更多關(guān)注，涌現(xiàn)出許多新的 API 安全供應(yīng)商/解決方案，當(dāng)然，攻擊者已經(jīng)開發(fā)出新的技能和技巧來破壞 API。以下是2023年發(fā)布的最新的風(fēng)險(xiǎn)清單：

OWASP Top 10 API Security Risks?

– 2023清單

差異分析：

OWASP 2023 年和 2019 年十大 API 列表

該列表與 2019 年十大 API 安全風(fēng)險(xiǎn)相比有不少變化。我們來仔細(xì)探究一下2023年與2019年相比，OWASP API Top 10所呈現(xiàn)出的風(fēng)險(xiǎn)變化。

一、

持續(xù)不變的風(fēng)險(xiǎn)

對(duì)象級(jí)別授權(quán)失敗 (BOLA)、功能級(jí)別授權(quán)失敗 (BFLA) 和安全配置錯(cuò)誤是 2023 年列表中三個(gè)不變的 OWASP 十大 API 漏洞類別。他們?cè)诿麊紊系奈恢靡脖３植蛔儭?

對(duì)象級(jí)別授權(quán)失敗（Broken Object Level Authorization） 在 OWASP API Top 10 2023 列表中仍然排名第一，這個(gè)問題在基于 API 的應(yīng)用程序中極為常見，因?yàn)榉?wù)器組件通常不會(huì)完全跟蹤客戶端的狀態(tài)，而是更多地依賴于從客戶端發(fā)送的對(duì)象 ID 等參數(shù)來決定訪問哪些對(duì)象。

功能級(jí)別授權(quán)失敗（Broken Function Level Authorization）和安全配置錯(cuò)誤（Security Misconfiguration）排名同樣沒有更新，它們?nèi)匀缓苋菀妆焕?，并且可以輕松訪問敏感數(shù)據(jù)和受限資源。

二、

新增的風(fēng)險(xiǎn)

OWASP API Top 10 2023 新增了對(duì)敏感業(yè)務(wù)無限制訪問、服務(wù)器端請(qǐng)求偽造 (SSRF) 和 API 的不安全使用三類。

敏感業(yè)務(wù)訪問無限制（Unrestricted Access to Sensitive Business Flows）在 OWASP API 2023 年 10 強(qiáng)榜單中排名第 6，缺乏 API 完整的業(yè)務(wù)視圖往往會(huì)導(dǎo)致此問題的存在。

服務(wù)端請(qǐng)求偽造（SSRF）登上了最新的 OWASP Top 10 Web 應(yīng)用程序漏洞榜單，今年也進(jìn)入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜，主要是由于這些年來SSRF 攻擊的顯著增加，在現(xiàn)代 IT 架構(gòu)中，越來越多的容器化組件使用 API 通過可預(yù)測(cè)的路徑進(jìn)行通信。開發(fā)人員還傾向于根據(jù)用戶輸入訪問外部資源，例如基于 URL 的文件獲取、自定義單點(diǎn)登錄 (SSO)、URL 預(yù)覽等。雖然這些功能增強(qiáng)了應(yīng)用程序的功能，同樣也使利用 SSRF 漏洞變得更加常見。

API 的不安全使用（Unsafe Consumption of APIs）是2023 年榜單中的第三個(gè)新成員，排名第 10。與用戶輸入相比，開發(fā)人員更傾向于信任從第三方 API 接收的數(shù)據(jù)，而當(dāng)依賴的第三方的API存在風(fēng)險(xiǎn)時(shí)將被攻擊者利用。

三、

更新的風(fēng)險(xiǎn)

用戶身份認(rèn)證失敗（Broken User Authentication ）修改為身份認(rèn)證失敗（Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

損壞的對(duì)象屬性級(jí)別授權(quán)（ Broken Object Property Level Authorization），在最新列表中排名第 3，結(jié)合了數(shù)據(jù)過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個(gè)漏洞都強(qiáng)調(diào)需要正確保護(hù) API參數(shù) ，以防止威脅參與者未經(jīng)授權(quán)的訪問和利用。

資源訪問無限制（Lack of Resources and Rate Limiting ）已重命名為資源消耗無限制（Unrestricted Resource Consumption）。以前，重點(diǎn)只放在漏洞上，但現(xiàn)在資源消耗無限制還強(qiáng)調(diào)了沒有適當(dāng)?shù)乃俾氏拗坪推渌Y源使用限制的后果。

四、

刪除的風(fēng)險(xiǎn)?

日志和監(jiān)控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection） 已從 OWASP API Top 10 2023 列表中刪除。

API風(fēng)險(xiǎn)監(jiān)測(cè)：

建設(shè)全方位的API安全保護(hù)體系

在當(dāng)今應(yīng)用程序驅(qū)動(dòng)的世界中，創(chuàng)新的一個(gè)基本要素是應(yīng)用程序編程接口 (API)。從銀行、零售和交通到物聯(lián)網(wǎng)、自動(dòng)駕駛汽車和智能城市，API 是現(xiàn)代移動(dòng)、SaaS 和 Web 應(yīng)用程序的重要組成部分，可以在面向客戶、面向合作伙伴和內(nèi)部的應(yīng)用程序中找到。從本質(zhì)上講，API 會(huì)暴露應(yīng)用程序邏輯和敏感數(shù)據(jù)，例如個(gè)人身份信息 (PII)，因此，API 越來越成為攻擊者的目標(biāo)，沒有永遠(yuǎn)安全的 API，如何動(dòng)態(tài)的、實(shí)時(shí)的發(fā)現(xiàn)API安全風(fēng)險(xiǎn)成為了當(dāng)下企業(yè)難以解決的問題。

而安恒信息的API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)以API數(shù)據(jù)安全為出發(fā)點(diǎn)，幫助企業(yè)構(gòu)建全方位的API安全保護(hù)體系。

動(dòng)態(tài)資產(chǎn)梳理

系統(tǒng)自動(dòng)收集和維護(hù)所有API的最新信息，形成一個(gè)實(shí)時(shí)更新的API資產(chǎn)清單。這不僅可以幫助企業(yè)更好地理解和管理API資產(chǎn)，也是識(shí)別并解決安全問題的重要依據(jù)。

智能風(fēng)險(xiǎn)監(jiān)測(cè)

系統(tǒng)能夠持續(xù)監(jiān)控API的脆弱性、合規(guī)、攻擊風(fēng)險(xiǎn)，包括OWASP API Top 10中列出的各種風(fēng)險(xiǎn)。企業(yè)能夠及時(shí)了解風(fēng)險(xiǎn)，防范在先，扼殺風(fēng)險(xiǎn)發(fā)生的可能。

API全流量審計(jì)

系統(tǒng)記錄API的所有操作，形成詳細(xì)的審計(jì)日志。這不僅可以幫助查明問題的原因，也使得API的運(yùn)行更為透明，防止不正當(dāng)操作和內(nèi)部惡意行為。

這三大功能共同保證了“數(shù)據(jù)資產(chǎn)可管、安全風(fēng)險(xiǎn)可見、API操作全面留痕”。在這樣全方位的防護(hù)體系下，API的安全能夠得到有效的保障，為企業(yè)營造安全可控的API環(huán)境。