API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动化⼯具或脚本进⾏的恶意攻击活动薅⽺⽑等,例如恶意爬⾍、恶意机器⼈、DoS/DDoS攻击等。这些攻击往往能够⾃动化地快速扫描和攻击API接⼝,从...
随着API的普及,我们在2023年的列表中看到了对传统API安全措施的挑战,以及对新兴技术如Serverless、GraphQL和gRPC的安全需求的关注。此外,由于攻击者越来越熟练于利⽤API的漏洞,因此对防御措施产⽣了更强烈的需求。总体来说,2023年的OWASP API安全TOP 10表明,随着技术不断演进和攻击者利⽤策略的变化,API安全环境也...
通过对OWASP API Security TOP 10 (2023版本)的详细解读,与2019年的OWASP API安全TOP10相⽐,2023的API TOP 10 发⽣重要的变化。⾸先,API安全形势不断升级,新的威胁和漏洞不断出现,这也使得安全专业⼈员在保护API⽅⾯⾯临更多挑战。与2019年相⽐,2023年的OWASP API安全TOP 10中,验证和授权缺陷...
从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
这两个问题在2023年版本的OWASP API TOP 10中被合并为API3 对象属性级别授权失效。API3:2019 过度数据暴露涉及API在返回响应时,未正确限制或保护敏感数据的访问,导致攻击者可以获取到⽤户的敏感数据,例如:密码、令牌、会话ID等,并利⽤这些信息进⼀步发动攻击。API6:2019 批量分配是指攻击者将多个参数⼀...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。
一、“更新”的API风险(2023年版本) 2023年OWASP API Security Top 10 中,“更新”的API风险主要包括:API3、API4、API9,其中: 1、API3-对象属性级别授权失效:“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配,这两种技术都基于API端点操作来获得对敏感数据的访问。
作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也被包含在最新的OWASP API TOP 10 2023列表中,由此可见该漏洞的重要性。这表明更多的API可能比注入攻击更容易受到SSRF的威胁。
考虑到自 2016 年上一个版本以来出现的最新威胁和漏洞,OWASP 推出了移动应用程序 OWASP Top 10 2023 – Initial release。OWASP 2023 年 10 大移动风险(初始发布)M1:凭据使用不当M2:供应链安全不足M3:不安全的身份验证/授权M4:输入/输出验证不足M5:不安全的通信M6:隐私控制不足M7:二进制保护不足M8:...
OWASP Top 10 2023 是由开放Web应用程序安全项目(OWASP)发布的关于网络安全领域最常见的十种风险或漏洞的列表。以下是2023年版本的OWASP Top 10的详细解读: 1. 对象级别授权失效(Object Level Authorization Failures) 描述:当用户能够访问或操作他们无权访问的对象时,就发生了对象级别授权失效。 风险:可能导致敏感数据...