API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。 主要变化如下图所示: 新旧对比图 针对身份认证漏洞,越来...
API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全⻛险,也是在渗透测试攻防对抗中常⻅的⽔平越权的安全漏洞。API 2 认证失效(更新) 从2019API2的⽤户认证失效更新为2023API2的认证失效,更加侧重于API身份的校...
API 7 服务端请求伪造 (Server Side Request Forgery) 概念 攻击者通过API接⼝利⽤服务端请求伪造漏洞在⽬标服务器上发起未经授权的请求,从⽽获取敏感信息或者执⾏任意操作的攻击⽅式。攻击者通过构造恶意请求,使得服务器将请求发送到攻击者指定的⽬标地址,例如访问⼀个内部⽹络中不可公开访问的资源,...
2023年OWASP API Security Top 10 中,“新增”的API风险包括:API6、API7、API10: API6-不受限制地访问敏感业务流:当API暴露了一个业务流,攻击者利用API背后的业务逻辑找到敏感的业务流,并通过自动化过度使用该功能时,则会对业务造成损害。 API7-服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。 主要变化如下图所示: 1. 针对身份认证漏洞,越来越多的...
2019年,国外非营利组织 OWASP 首次提出 API Security Top 10(2019),对API安全漏洞的发现与风险点检测划分出重点。伴随API安全的快速发展与使用场景广泛化的加持下,API的安全建设成为数字化企业的重点工作,OWASP 于2023年6月5日发布 OWASP API Security Top 10正式稳定版。以下是2023年发布的最新的风险清单: ...
API 1:对象级别授权失效(无变化) 对象级别授权失效在2019和2023版本中都位列第一,是当前API面临的最常见且危害最大的安全风险。在渗透测试攻防对抗中,水平越权的这种安全漏洞经常出现。 API 2:认证失效(有所更新) 从2019 API的“用户认证失效”更新为2023 API的“认证失效”,它更侧重于API身份的验证和校验。安全...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。