最新活动

WHY YUNDUN?

产品

安全产品
SDK安全加速

客户端DDoS、CC、WAF防护

Web安全加速

网站DDoS、CC、WAF防护

TCP安全加速

TCP业务DDoS防护

DNS安全加速

域名解析

扫描观测

漏洞扫描Scan+

安全专家服务
互联网暴露面检测服务
渗透测试服务
安全巡检和加固服务
重保服务
其他安全专家服务

等保一体化服务
漏洞扫描服务
反钓鱼检测和关停服务
攻防演练服务
应急响应服务
安全意识培训服务

零信任安全访问
零信任安全访问

隐藏内网 统一身份 最小权限

出海业务保障
出海云主机

亚太地区
北美地区
拉美地区
新加坡
欧洲地区
非洲地区
中东地区

行业解决方案

解决方案

文档中心

了解我们

注册体验 登录

文档中心 / 资讯列表 / 从2023年OWASP API Security Top 10 看当下重点关注的API风险
从2023年OWASP API Security Top 10 看当下重点关注的API风险

1214

2023-11-15 16:49:36

23年6月,OWASP正式发布了2023年API安全Top 10列表。与2019年发布的列表相比,2023年进一步强调了API攻击场景与Web攻击的差异化,突出API授权管理、资产管理、业务风控及第三方问题。


具体内容如下:


2023年OWASP API Security Top 10 看当下重点关注的API风险

23年6月,OWASP正式发布了2023年API安全Top 10列表。与2019年发布的列表相比,2023年进一步强调了API攻击场景与Web攻击的差异化,突出API授权管理、资产管理、业务风控及第三方问题。

一、关于“更新”的API风险(2023年版)

2023年版的OWASP API Security Top 10中,“更新”的API风险主要包括API3、API4和API9。

其中:

1. API3 - 对象属性级别授权失效:整合了2019版本的API3 - 过度数据暴露和API6 - 批量分配,这两种技术都是通过API端点操作来获得对敏感数据的访问权限。

2. API4 - 资源消耗无限制:替代了2019版本的API4 - 缺乏资源&速率限制。虽然名称有所变化,但该漏洞总体上保持不变。2023年版本更准确地表达了该漏洞的本质,即速率限制只是防止资源过度消耗的方式之一。

3. API9 - 库存管理不当:替代了2019版本的API9 - 资产管理不当。虽然名称有所变化,但风险仍然相同。2023年版本更加强调库存管理的精准性和及时更新API库存的重要性。

2023年“更新”的API风险来看,整体变化并不大,重点强调了与“授权”相关的API风险,将授权类的API安全风险明确地分为三类,并分别对应不同的级别,且排名较高:

1名:对象级别授权(Object Level)

3名:对象属性级别授权(Object Property Level)

5名:功能级别授权(Function Level)

针对授权类的API安全风险的明确分类,这既提醒安全开发人员在设计API接口的授权机制时,需要考虑到这些不同的级别;同时也表明“授权类缺陷”是整体危害性最大的一类API安全缺陷。

二、“新增”的API风险(2023年版本)

2023年OWASP API Security Top 10中,“新增”的API风险包括API6、API7和API10:

API6 - 敏感业务流的无限制访问:当攻击者利用API暴露的业务流,并通过自动化手段过度使用该功能以破坏业务时,便可能发生这种情况。

API7 - 服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行和处理时,就可能发生这种情况,它可能导致未经授权的数据泄露、数据篡改或服务中断等严重后果。

API10 - API的不安全使用:不安全地使用API,例如绕过API身份验证的安全控制,可能导致未经授权的访问和数据暴露。

与此同时,API9提到我们需要做好API的管理,而API10则进一步强调了API的正确使用,特别是关注使用第三方API所带来的风险。其中,API6 - 敏感业务流的无限制访问,是本次新增的3个Top10 API安全缺陷中排名最高的一个。随着越来越多的敏感业务通过API接口进行处理,因“访问敏感业务流无限制”而导致的各类业务攻击事件层出不穷。例如,黄牛抢购、恶意占座(机票)和营销活动薅羊毛等。这些攻击者可能会将不同的缺陷结合起来,一旦“敏感业务流的无限制访问”与“授权类缺陷”组合在一起,其危害程度将进一步加剧。

三、如何保护API不受敏感业务流攻击的限制?

访问敏感业务流的背后,攻击者常常通过编写攻击脚本来发起自动化攻击。对此,OWASP提出了相应的应对方案,包括设备指纹和人机识别(如验证码)等技术。然而,对于专业黑产团伙发起的自动化攻击,请求数据和行为序列等可能与正常用户无异,从而成功绕过OWASP提出的各类检测方案。因此,想要有效检测和防御这类攻击,需要建立在深入了解攻击者的基础上,针对性地制定攻防策略。这正是业务风险情报的核心价值所在。

上海云盾专注于提供新一代安全产品和服务,以纵深安全加速,护航数字业务的产品服务理念,替身和隐身的攻防思想,运用大数据、AI、零信任技术架构和健壮的全球网络资源,一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁,满足合规要求,提高用户体验。其中Web安全加速产品,是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品,支持HTTP、HTTPS和WebSocket协议,在抵御各类攻击的同时,保障网站业务的快速稳定访问。

例如,内容安全。过滤和替换应用系统中的敏感信息,支持定制专属敏感词库,避免因敏感信息导致业务系统被关停的风险。

例如,访客鉴权。通过算法签名对请求进行校验,可识别针对应用的各种CC攻击,适用于APP和API场景。

例如,智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息,解析就近最优线路节点, 兼顾安全和加速能力。

上一篇: OWASP API安全 TOP10

下一篇: sql注入攻击的防范措施有哪些

热门产品

Web安全加速

出海云主机(ECS)

扫描观测(漏洞扫描Scan+)

SDK安全加速

企业应用可信访问

回到顶部
安全顾问
企业微信
安全顾问
企业QQ
白云山科技

上海云盾信息技术有限公司版权所有 沪ICP备11032572号-9

沪公网安备 31011202001043号 上海工商

Copyright@2024 YUNDUN,All Rights Reserved

  • 在线咨询
  • 电话咨询
  • 申请试用
icon
技术支持&售后
商务合作&售前
icon