欧美日韩中文字幕综合-欧美日韩一区二区三区四区蜜桃视频-国精产品一区一区三区mba·-99热这里只有精品一区二区三区-久久久久久成人av-日韩成人在线大片-日韩精品中文在线视频-欧美日韩一二三区免费播放-亚洲av三级在线播放,亚洲av爽爽淫人网,熟女av在线资源,久久99热这里只有精品66

數字經濟的安全基石

申請試用

首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

OWASP API Security TOP 10 最終版更新!快來看看有哪些變化!

閱讀量:文章來源:安恒信息



在數字化時代的今天,API(應用程序接口)的廣泛應用和深入推廣,為我們的生活帶來了便利,也對企業(yè)的數據安全提出了全新的挑戰(zhàn)。針對這一情況,OWASP API Security向我們提供了一份寶貴的API安全風險清單,幫助我們理解和應對API安全隱患,實現更安全的數據流通。

OWASP API Security是一項專注于API安全的研究項目,旨在喚醒公眾對API潛在風險的認識,提醒開發(fā)人員和安全人員加強對API安全的關注。從2019年首次發(fā)布API Security Top 10起,這份清單便以其獨特的視角,準確地揭示了API安全中的重要風險。隨后,2023年的更新版本是 OWASP API Security Top 10 的第二版,距首次發(fā)布正好四年。API(安全)領域發(fā)生了很多變化。API 流量快速增長讓API 安全獲得更多關注,涌現出許多新的 API 安全供應商/解決方案,當然,攻擊者已經開發(fā)出新的技能和技巧來破壞 API。以下是2023年發(fā)布的最新的風險清單:

OWASP Top 10 API Security Risks?

– 2023清單

差異分析:

OWASP 2023 年和 2019 年十大 API 列表

該列表與 2019 年十大 API 安全風險相比有不少變化。我們來仔細探究一下2023年與2019年相比,OWASP API Top 10所呈現出的風險變化。

一、

持續(xù)不變的風險

對象級別授權失敗 (BOLA)、功能級別授權失敗 (BFLA) 和安全配置錯誤是 2023 年列表中三個不變的 OWASP 十大 API 漏洞類別。他們在名單上的位置也保持不變。


對象級別授權失敗(Broken Object Level Authorization) 在 OWASP API Top 10 2023 列表中仍然排名第一,這個問題在基于 API 的應用程序中極為常見,因為服務器組件通常不會完全跟蹤客戶端的狀態(tài),而是更多地依賴于從客戶端發(fā)送的對象 ID 等參數來決定訪問哪些對象。

功能級別授權失?。˙roken Function Level Authorization)和安全配置錯誤(Security Misconfiguration)排名同樣沒有更新,它們仍然很容易被利用,并且可以輕松訪問敏感數據和受限資源。


二、

新增的風險

OWASP API Top 10 2023 新增了對敏感業(yè)務無限制訪問、服務器端請求偽造 (SSRF) 和 API 的不安全使用三類。

敏感業(yè)務訪問無限制(Unrestricted Access to Sensitive Business Flows)在 OWASP API 2023 年 10 強榜單中排名第 6,缺乏 API 完整的業(yè)務視圖往往會導致此問題的存在。

服務端請求偽造(SSRF)登上了最新的 OWASP Top 10 Web 應用程序漏洞榜單,今年也進入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜,主要是由于這些年來SSRF 攻擊的顯著增加,在現代 IT 架構中,越來越多的容器化組件使用 API 通過可預測的路徑進行通信。開發(fā)人員還傾向于根據用戶輸入訪問外部資源,例如基于 URL 的文件獲取、自定義單點登錄 (SSO)、URL 預覽等。雖然這些功能增強了應用程序的功能,同樣也使利用 SSRF 漏洞變得更加常見。

API 的不安全使用(Unsafe Consumption of APIs)是2023 年榜單中的第三個新成員,排名第 10。與用戶輸入相比,開發(fā)人員更傾向于信任從第三方 API 接收的數據,而當依賴的第三方的API存在風險時將被攻擊者利用。


三、

更新的風險

用戶身份認證失?。˙roken User Authentication )修改為身份認證失敗 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

損壞的對象屬性級別授權( Broken Object Property Level Authorization),在最新列表中排名第 3,結合了數據過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個漏洞都強調需要正確保護 API參數 ,以防止威脅參與者未經授權的訪問和利用。

資源訪問無限制(Lack of Resources and Rate Limiting )已重命名為資源消耗無限制(Unrestricted Resource Consumption)。以前,重點只放在漏洞上,但現在資源消耗無限制還強調了沒有適當的速率限制和其他資源使用限制的后果。


四、

刪除的風險?

日志和監(jiān)控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection) 已從 OWASP API Top 10 2023 列表中刪除。


API風險監(jiān)測:

建設全方位的API安全保護體系

在當今應用程序驅動的世界中,創(chuàng)新的一個基本要素是應用程序編程接口 (API)。從銀行、零售和交通到物聯(lián)網、自動駕駛汽車和智能城市,API 是現代移動、SaaS 和 Web 應用程序的重要組成部分,可以在面向客戶、面向合作伙伴和內部的應用程序中找到。從本質上講,API 會暴露應用程序邏輯和敏感數據,例如個人身份信息 (PII),因此,API 越來越成為攻擊者的目標,沒有永遠安全的 API,如何動態(tài)的、實時的發(fā)現API安全風險成為了當下企業(yè)難以解決的問題。

恒信息的API風險監(jiān)測系統(tǒng)以API數據安全為出發(fā)點,幫助企業(yè)構建全方位的API安全保護體系。

動態(tài)資產梳理

系統(tǒng)自動收集和維護所有API的最新信息,形成一個實時更新的API資產清單。這不僅可以幫助企業(yè)更好地理解和管理API資產,也是識別并解決安全問題的重要依據。

智能風險監(jiān)測

系統(tǒng)能夠持續(xù)監(jiān)控API的脆弱性、合規(guī)、攻擊風險,包括OWASP API Top 10中列出的各種風險。企業(yè)能夠及時了解風險,防范在先,扼殺風險發(fā)生的可能。

API全流量審計

系統(tǒng)記錄API的所有操作,形成詳細的審計日志。這不僅可以幫助查明問題的原因,也使得API的運行更為透明,防止不正當操作和內部惡意行為。


這三大功能共同保證了“數據資產可管、安全風險可見、API操作全面留痕”。在這樣全方位的防護體系下,API的安全能夠得到有效的保障,為企業(yè)營造安全可控的API環(huán)境。




關閉

客服在線咨詢入口,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產品試用

即刻預約免費試用,我們將在24小時內聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式
偏关县| 门源| 民县| 泽库县| 孟州市| 永济市| 绿春县| 上杭县| 临沧市| 鄂托克旗| 隆子县| 农安县| 宝清县| 揭阳市| 永顺县| 同心县| 海原县| 牟定县| 金山区| 论坛| 夏河县| 邵阳市| 浦北县| 科尔| 平度市| 华宁县| 通道| 永济市| 静安区| 南投市| 德化县| 阿图什市| 福清市| 镇原县| 成安县| 卢湾区| 光山县| 邵东县| 瓦房店市| 江山市| 长宁区|