OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。 主要变化如下图所示: 新旧对比图 针对身份认证漏洞,越来...
9.安全日志和监控故障 10.服务端请求伪造(SSRF) OWASP Web App TOP10先后经历了2013、2017、2019以及2021版本的变化,其中2021版引入了新的不安全设计、软件和数据完整性故障和服务端请求伪造: 1.失效的访问控制(Broken Access Control) 失败的访问控制通常会导致未经授权的信息泄露、修改或销毁所有数据、或在用户权限...
Kent 总结道:“新的 API Top 10 可能并不完美,但它确实向我们展示了多年来我们所知道的一切。API 安全的格局正在发生变化,组织也需要随之改变。无论是了解您的 API 在哪里、测试它们是否存在缺陷或减轻机器人攻击您的未知流程,API 安全都需要成为每个人关注的焦点——这个新列表是一个很好的起点。”
开放 Web 应用程序安全项目 (OWASP) Top 10因其全面性和准确性而受到认可,是一份详细列表,每一到两年更新一次,突出显示企业应了解的关键 Web 应用程序安全风险。OWASP 是一个由数万名贡献者组成的非营利社区,致力于通过创建框架、工具和教育计划等各种措施来促进软件安全。随着时间的推移,数字威胁不断演变。因...
4、无限制资源消耗 此漏洞源于未正确实现或忽视实现资源消耗限制的API,使其极易受到暴力攻击。“无限制资源消耗”取代了OWASP API Security Top 10(缺乏资源和速率限制)中的前4位。然而,尽管名称发生了变化,但该漏洞总体上保持不变。5、功能级别授权失败 当未正确实施授权时,会形成此威胁,导致未经授权的用户...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动...
考虑到自 2016 年上一个版本以来出现的最新威胁和漏洞,OWASP 推出了移动应用程序 OWASP Top 10 2023 – Initial release。OWASP 2023 年 10 大移动风险(初始发布)M1:凭据使用不当M2:供应链安全不足M3:不安全的身份验证/授权M4:输入/输出验证不足M5:不安全的通信M6:隐私控制不足M7:二进制保护不足M8:...
API安全一直是业内关注度较高的话题。随着API应用的发展和安全实践的深化,API的安全局势也在不断变化。6月5日,OWASP正式发布了2023年API安全Top 10风险清单,相比2019年版,对API身份认证和授权的管理进行了重点突出,自动化威胁防护缺失和API供应链的安全风险等也被首次
TOP1-注入 注入漏洞通常源于应用程序对输入数据的缺乏安全性检查。攻击者利用含指令的数据向解释器发送,解释器将数据转化为执行指令。常见注入包括SQL注入、OS shell注入、LDAP注入、XPath注入、HQL注入等。注入可能导致数据丢失、破坏、缺乏审计性和拒绝服务。严重时,攻击者甚至能完全接管系统。防范措施包括...