从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也被包含在最新的OWASP API TOP 10 2023列表中,由此可见该漏洞的重要性。这表明更多的API可能比注入攻击更容易受到SSRF的威胁。 API 8 错误的安全配置(排名下降) 在2019版本中,API 8是...
owasp-top10 2023 详解 经典的TOP10漏洞 A1 注入漏洞 在2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的容易,同时也证明此漏洞的危害有多么严重。攻击方式利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令。漏洞原因未审计的数据输入框使用网址直接传递变量未过滤的...
API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
一、“更新”的API风险(2023年版本) 2023年OWASP API Security Top 10 中,“更新”的API风险主要包括:API3、API4、API9,其中: 1、API3-对象属性级别授权失效:“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配,这两种技术都基于API端点操作来获得对敏感数据的访问。
在2023版OWASP API安全风险Top10清单中,权限管理不当被认为是API最主要的风险之一。相关的风险类型有:...
2.1 认证和授权相关风险在2023版的API Security Top 10清单中,认证和授权相关的风险占了4条,分别为对象级授权失效(BOLA)、身份认证失效、对象属性级授权失效、功能级授权失效。 对象级别授权失效 相关风险介绍: 攻击示例场景: 一家汽车制造商通过一种移动API启用了对其车辆的远程控制,用于与驾驶员的手机通信。该API...
考虑到自 2016 年上一个版本以来出现的最新威胁和漏洞,OWASP 推出了移动应用程序 OWASP Top 10 2023 – Initial release。OWASP 2023 年 10 大移动风险(初始发布)M1:凭据使用不当M2:供应链安全不足M3:不安全的身份验证/授权M4:输入/输出验证不足M5:不安全的通信M6:隐私控制不足M7:二进制保护不足M8:...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃...
OWASP API TOP 10 版本内容进⼀步突出了API安全场景的独特性,凸显API在资产、认证、权限、业务、合规、使⽤、第三⽅供应链的安全问题。TOP 10内容做了如下更新:API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全...