API 4 未受限制的资源消耗(更新) API4:2019 资源缺乏和速率限制更新为API4:2023 ⽆限制消耗资源,这两个API安全⻛险都涉及到API资源限制利⽤,但存在⼀定的区别。API4:2019是关于API资源不⾜问题,这意味着API需要处理过多的请求,或者请求的速度过快,从⽽导致API⽆法提供⾜够的资源来满⾜所...
API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全⻛险,也是在渗透测试攻防对抗中常⻅的⽔平越权的安全漏洞。 API 2 认证失效(更新) 从2019API2的⽤户认证失效更新为2023API2的认证失效,更加侧重于API身份的校...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动...
1、凭据使用不当 OWASP认为,当前移动应用程序开发的主要风险是来自凭据、API密钥及其他秘密信息的安全性。黑客可以利用移动应用程序中硬编码凭据和使用不当的运行时秘密信息,对移动应用程序的关键功能实现未授权访问。此外,如果攻击者借助一些定制的工具和脚本,就可以进一步通过被盗的密钥来访问后端系统和API。 防护建议: ...
作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也被包含在最新的OWASP API TOP 10 2023列表中,由此可见该漏洞的重要性。这表明更多的API可能比注入攻击更容易受到SSRF的威胁。
在当前互联网技术日新月异的背景下,数据安全一直是开发者们不可忽视的重要问题。OWASP(开放式Web应用程序安全项目)是一个致力于帮助开发者提高应用程序安全性的组织。其中,OWASP API 安全十大(OWASP API Security Top 10)是关于API安全方面最常见和最严重的安全风险的清单。
对于企业高管和安全专业人士来说,理解和实施 OWASP API Security Top 10 的原则不仅仅是技术上的必要性,更是战略上的必要条件。API在企业中的兴起 API 在数字生态系统中无处不在,连接不同的系统、应用程序和数据。它们实现无缝集成和数据交换的能力彻底改变了企业的运营方式。从支持移动应用程序功能到促进云服务和...
此漏洞源于未正确实现或忽视实现资源消耗限制的API,使其极易受到暴力攻击。“无限制资源消耗”取代了OWASP API Security Top 10(缺乏资源和速率限制)中的前4位。然而,尽管名称发生了变化,但该漏洞总体上保持不变。5、功能级别授权失败 当未正确实施授权时,会形成此威胁,导致未经授权的用户能够执行API功能,例如...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃...
一、“更新”的API风险(2023年版本) 2023年OWASP API Security Top 10 中,“更新”的API风险主要包括:API3、API4、API9,其中: 1、API3-对象属性级别授权失效:“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配,这两种技术都基于API端点操作来获得对敏感数据的访问。