OWASP API安全性 TOP 10

随着企业数字化的不断深化，API已经成为了软件世界中数据交互的“通用语言”，其数量也因此迎来了爆发式的增长。然而，这种广泛的应用也给运维可见性和安全性带来了全新的挑战。针对API这种新兴的、易于攻击但难以防御的资产，实施适当的安全治理显得尤为重要。

为了强调API安全的重要性，OWASP在2019年首次发布了“API安全性TOP 10”。随着安全产业的实践深化，其在2023年又发布了更新版的“API安全性TOP 10（候选版）”，对内容进行了及时的更新。这次更新的重点更加突出了API攻击场景与Web攻击的差异化，对API权限管理、资产管理、业务风控及供应链问题进行了强调。

以下是一些主要的变化：

首先，针对身份认证漏洞，越来越多的服务提供商开始采取一种更全面、更细致的身份认证方式，这种方式将对用户的身份进行验证，同时还会结合设备、环境等其他因素来进行更全面的身份认证。这种方式相比传统的单一身份认证方式更加安全可靠，可以有效避免诸如伪造、冒用等攻击手段。

其次，新增加了“服务端请求伪造漏洞”的内容，这种漏洞是非常危险的安全漏洞，攻击者可以利用它窃取敏感信息、发起内网攻击、进行DoS攻击等。这也强调了在服务端请求处理过程中输入验证与过滤的重要性。加强对SSRF漏洞的防范，可以有效提高应用程序的安全性。

再次，随着人工智能、机器学习等技术的发展，自动化攻击手段也变得越来越普遍和复杂。自动化攻击可以通过机器学习算法、大数据分析、自动化工具等方式，快速、准确地扫描目标系统漏洞或发起攻击，对系统造成严重威胁。增加了“缺少对自动化威胁的防护”内容，说明在实际应用中，很多企业缺乏对自动化攻击的防护措施，存在一定的安全风险。不安全的第三方API可能会导致系统遭受攻击，因此企业需要加强安全意识，选择可信赖的服务提供商，进行充分的安全测试和验证，限制API的权限并监控API的使用情况，可以保障系统的安全性。

这些趋势变化说明了在信息化和数字化快速发展的时代，传统的身份验证方式已经无法满足日益增长的安全需求，我们需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。