API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
现在,当API应⽤程序与这恶意的存储库进⾏集成时,⽤程序认为存储库的名称是安全的输⼊,会在构建SQL注⼊时带⼊恶意存储库名称,攻击payload会成为SQL语句的⼀部分,从⽽造成SQL注⼊攻击。 总结 OWASP API Security TOP 10 是⼀个关于API安全⻛险的指南,它旨在帮助开发⼈员和安全专家了解和防范API...
从以上最新的API Security Top 10(候选版),可以看到,现在API安全和传统的Web安全有很大区别,一方面需要在设计和开发阶段,对API的安全性进行良好的构建和设计;另一方面还需要在进入运维阶段后,针对API进行专项型的防护,根据API的特点构建全生命周期的防护体系,从而更好地应对各类风险,做到未雨绸缪、防患于未然。 随着A...
API 4 未受限制的资源消耗(更新) API4:2019 资源缺乏和速率限制更新为API4:2023 ⽆限制消耗资源,这两个API安全⻛险都涉及到API资源限制利⽤,但存在⼀定的区别。API4:2019是关于API资源不⾜问题,这意味着API需要处理过多的请求,或者请求的速度过快,从⽽导致API⽆法提供⾜够的资源来满⾜所...
2019年版的OWASP API TOP 10中,API3指的是过度数据暴露,⽽API6指的是批量分配。这两个问题在2023年版本的OWASP API TOP 10中被合并为API3 对象属性级别授权失效。 API3:2019 过度数据暴露涉及API在返回响应时,未正确限制或保护敏感数据的访问,导致攻击者可以获取到⽤户的敏感数据,例如:密码、令牌、会话ID等...
上期文章我们简要分析了OWASP API Security TOP10 2023的分类和定义,同时对2019年和2023年的变化做出了对比分析。本期文章将继续对OWASP API Security 2023版本中的TOP 1-5做详细的解读。API 1 对象级别授权失效(Broken Object Level Authorization)概念 这是API 安全中排名第⼀的⻛险,也是最普遍危害最⼤的...
The 10 Most Common Web Application Vulnerabilities Learn more → eBook Create your own OWASP Top 10 list See how to create your own customized OWASP Top 10 list unique to your organization. See how → 博客 OWASP API Security Top 10: Security risks that should be on your radar ...
针对API这种“易攻难守”的新兴资产的安全治理显得愈发重要。 OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链...
2019年,国外非营利组织 OWASP 首次提出 API Security Top 10(2019),对API安全漏洞的发现与风险点检测划分出重点。伴随API安全的快速发展与使用场景广泛化的加持下,API的安全建设成为数字化企业的重点工作,OWASP 于2023年6月5日发布 OWASP API Security Top 10正式稳定版。以下是2023年发布的最新的风险清单: ...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃...