API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
API 10 API 的不安全使⽤ (Unsafe Consumption Of APIS) 概念 这个主要侧重于API在使⽤中的⼀些安全⻛险,例如供应链第三⽅API使⽤,信任且不验证与外部或第三⽅ API 交互。例如在未加密的通道与其他 API 交互;在处理数据或将其传递给下游组件之前,没有正确验证和清理从其他API 收集的数据;不限制可...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤...
场景一 :客户端通过向 /api/v1/images接⼝发送 POST 请求来上传⼤图像。上传完成后,API 会创建多个不同⼤⼩的缩略图。由于有没有限制上传图像的⼤⼩和数量,攻击者可使⽤未受限制的资源消耗攻击导致API在创建缩略图的过程中⽤尽了所有可⽤的内存,导致系统瘫痪或者拒绝服务。场景二 :为了激活信...
上期文章我们简要分析了OWASP API Security TOP10 2023的分类和定义,同时对2019年和2023年的变化做出了对比分析。本期文章将继续对OWASP API Security 2023版本中的TOP 1-5做详细的解读。 API 1 对象级别授权失效(Broken Object Level Authorization) 概念 ...
API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全⻛险,也是在渗透测试攻防对抗中常⻅的⽔平越权的安全漏洞。API 2 认证失效(更新) 从2019API2的⽤户认证失效更新为2023API2的认证失效,更加侧重于API身份的...
2023年OWASP API Security Top 10 中,“新增”的API风险包括:API6、API7、API10: API6-不受限制地访问敏感业务流:当API暴露了一个业务流,攻击者利用API背后的业务逻辑找到敏感的业务流,并通过自动化过度使用该功能时,则会对业务造成损害。 API7-服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行...
在2023版OWASP API安全风险Top10清单中,权限管理不当被认为是API最主要的风险之一。相关的风险类型有: 相关风险解读 API-2 身份认证失效(Broken Authentication) 在2023-RC版的更新中,「API-2 用户身份认证失效」(Broken User Authentication)被修改为了更广义的「身份认证失效」(Broken Authentication),指出API的访问...
新增风险 | API3:2023 | 失效的对象属性级授权 OWASP 将之前的“过度数据暴露”和“批量分配”类别组合在一起,成为新的失效的对象属性级授权 (BOPLA)类别,同时重点关注常见的根本原因:对象属性级授权验证失效。 “失效的对象级授权”(BOLA) 与 BOPLA 之间的区别在于:BOLA 是指整个对象,而 BOPLA 则是指对象内的...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。