文档中心 / 资讯列表 / 从2023年OWASP API Security Top 10 看当下重点关注的API风险
从2023年OWASP API Security Top 10 看当下重点关注的API风险

1750

2023-11-15 16:49:36

23年6月,OWASP正式发布了2023年API安全Top 10列表。与2019年发布的列表相比,2023年进一步强调了API攻击场景与Web攻击的差异化,突出API授权管理、资产管理、业务风控及第三方问题。


具体内容如下:


2023年OWASP API Security Top 10 看当下重点关注的API风险

23年6月,OWASP正式发布了2023年API安全Top 10列表。与2019年发布的列表相比,2023年进一步强调了API攻击场景与Web攻击的差异化,突出API授权管理、资产管理、业务风控及第三方问题。

一、关于“更新”的API风险(2023年版)

2023年版的OWASP API Security Top 10中,“更新”的API风险主要包括API3、API4和API9。

其中:

1. API3 - 对象属性级别授权失效:整合了2019版本的API3 - 过度数据暴露和API6 - 批量分配,这两种技术都是通过API端点操作来获得对敏感数据的访问权限。

2. API4 - 资源消耗无限制:替代了2019版本的API4 - 缺乏资源&速率限制。虽然名称有所变化,但该漏洞总体上保持不变。2023年版本更准确地表达了该漏洞的本质,即速率限制只是防止资源过度消耗的方式之一。

3. API9 - 库存管理不当:替代了2019版本的API9 - 资产管理不当。虽然名称有所变化,但风险仍然相同。2023年版本更加强调库存管理的精准性和及时更新API库存的重要性。

2023年“更新”的API风险来看,整体变化并不大,重点强调了与“授权”相关的API风险,将授权类的API安全风险明确地分为三类,并分别对应不同的级别,且排名较高:

1名:对象级别授权(Object Level)

3名:对象属性级别授权(Object Property Level)

5名:功能级别授权(Function Level)

针对授权类的API安全风险的明确分类,这既提醒安全开发人员在设计API接口的授权机制时,需要考虑到这些不同的级别;同时也表明“授权类缺陷”是整体危害性最大的一类API安全缺陷。

二、“新增”的API风险(2023年版本)

2023年OWASP API Security Top 10中,“新增”的API风险包括API6、API7和API10:

API6 - 敏感业务流的无限制访问:当攻击者利用API暴露的业务流,并通过自动化手段过度使用该功能以破坏业务时,便可能发生这种情况。

API7 - 服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行和处理时,就可能发生这种情况,它可能导致未经授权的数据泄露、数据篡改或服务中断等严重后果。

API10 - API的不安全使用:不安全地使用API,例如绕过API身份验证的安全控制,可能导致未经授权的访问和数据暴露。

与此同时,API9提到我们需要做好API的管理,而API10则进一步强调了API的正确使用,特别是关注使用第三方API所带来的风险。其中,API6 - 敏感业务流的无限制访问,是本次新增的3个Top10 API安全缺陷中排名最高的一个。随着越来越多的敏感业务通过API接口进行处理,因“访问敏感业务流无限制”而导致的各类业务攻击事件层出不穷。例如,黄牛抢购、恶意占座(机票)和营销活动薅羊毛等。这些攻击者可能会将不同的缺陷结合起来,一旦“敏感业务流的无限制访问”与“授权类缺陷”组合在一起,其危害程度将进一步加剧。

三、如何保护API不受敏感业务流攻击的限制?

访问敏感业务流的背后,攻击者常常通过编写攻击脚本来发起自动化攻击。对此,OWASP提出了相应的应对方案,包括设备指纹和人机识别(如验证码)等技术。然而,对于专业黑产团伙发起的自动化攻击,请求数据和行为序列等可能与正常用户无异,从而成功绕过OWASP提出的各类检测方案。因此,想要有效检测和防御这类攻击,需要建立在深入了解攻击者的基础上,针对性地制定攻防策略。这正是业务风险情报的核心价值所在。

上海云盾专注于提供新一代安全产品和服务,以纵深安全加速,护航数字业务的产品服务理念,替身和隐身的攻防思想,运用大数据、AI、零信任技术架构和健壮的全球网络资源,一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁,满足合规要求,提高用户体验。其中Web安全加速产品,是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品,支持HTTP、HTTPS和WebSocket协议,在抵御各类攻击的同时,保障网站业务的快速稳定访问。

例如,内容安全。过滤和替换应用系统中的敏感信息,支持定制专属敏感词库,避免因敏感信息导致业务系统被关停的风险。

例如,访客鉴权。通过算法签名对请求进行校验,可识别针对应用的各种CC攻击,适用于APP和API场景。

例如,智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息,解析就近最优线路节点, 兼顾安全和加速能力。

  • 在线咨询
  • 电话咨询
  • 申请试用
icon
技术支持&售后
商务合作&售前
icon