从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
考虑到自 2016 年上一个版本以来出现的最新威胁和漏洞,OWASP 推出了移动应用程序 OWASP Top 10 2023 – Initial release。OWASP 2023 年 10 大移动风险(初始发布)M1:凭据使用不当M2:供应链安全不足M3:不安全的身份验证/授权M4:输入/输出验证不足M5:不安全的通信M6:隐私控制不足M7:二进制保护不足M8:...
总结 OWASP API Security TOP 10 是⼀个关于API安全⻛险的指南,它旨在帮助开发⼈员和安全专家了解和防范API中最常⻅的安全威胁。通过对OWASP API Security TOP 10 (2023版本)的详细解读,与2019年的OWASP API安全TOP10相⽐,2023的API TOP 10 发⽣重要的变化。⾸先,API安全形势不断升级,新的威胁和漏...
OWASP API Security TOP 10 2023解读「第二期」上期文章我们简要分析了OWASP API Security TOP10 2023的分类和定义,同时对2019年和2023年的变化做出了对比分析。本期文章将继续对OWASP API Security 2023版本中的TOP 1-5做详细的解读。API 1 对象级别授权失效(Broken Object Level Authorization)概念 这是API 安全...
OWASP API TOP 10 版本内容进⼀步突出了API安全场景的独特性,凸显API在资产、认证、权限、业务、合规、使⽤、第三⽅供应链的安全问题。TOP 10内容做了如下更新:API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全...
通过对OWASP API Security TOP 10 (2023版本)的详细解读,与2019年的OWASP API安全TOP10相⽐,2023的API TOP 10 发⽣重要的变化。⾸先,API安全形势不断升级,新的威胁和漏洞不断出现,这也使得安全专业⼈员在保护API⽅⾯⾯临更多挑战。与2019年相⽐,2023年的OWASP API安全TOP 10中,验证和授权缺陷...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。
一、“更新”的API风险(2023年版本) 2023年OWASP API Security Top 10 中,“更新”的API风险主要包括:API3、API4、API9,其中: 1、API3-对象属性级别授权失效:“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配,这两种技术都基于API端点操作来获得对敏感数据的访问。
OWASP Top 10 2023 是由开放Web应用程序安全项目(OWASP)发布的关于网络安全领域最常见的十种风险或漏洞的列表。以下是2023年版本的OWASP Top 10的详细解读: 1. 对象级别授权失效(Object Level Authorization Failures) 描述:当用户能够访问或操作他们无权访问的对象时,就发生了对象级别授权失效。 风险:可能导致敏感数据...