针对API这种“易攻难守”的新兴资产的安全治理显得愈发重要。 OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问...
API 没有实施适当的⾃动化⼯具攻击的保护措施,导致游戏机都被⿊灰产使⽤⼯具快速抢购在其他平台进⾏加价销售。场景二:⼀家航空公司提供在线购票服务,不收取机票取消费。恶意⽤户预订了所需航班的 90% 的座位。航班起⻜前⼏天,恶意⽤户⼀次性取消了所有机票,迫使航空公司打折机票以填满航班。
因此,API2:2019 ⽤户认证失效可以被看作是API2:2023 认证失效的⼀个⼦集,更加⼴泛,并且包括许多其他类型的身份验证漏洞。API 3 对象属性级别授权失效(合并)2019年版的OWASP API TOP 10中,API3指的是过度数据暴露,⽽API6指的是批量分配。这两个问题在2023年版本的OWASP API TOP 10中被合并为API...
随着API的普及,我们在2023年的列表中看到了对传统API安全措施的挑战,以及对新兴技术如Serverless、GraphQL和gRPC的安全需求的关注。此外,由于攻击者越来越熟练于利⽤API的漏洞,因此对防御措施产⽣了更强烈的需求。总体来说,2023年的OWASP API安全TOP 10表明,随着技术不断演进和攻击者利⽤策略的变化,API安全环境也...
2019年版的OWASP API TOP 10中,API3指的是过度数据暴露,⽽API6指的是批量分配。这两个问题在2023年版本的OWASP API TOP 10中被合并为API3 对象属性级别授权失效。 API3:2019 过度数据暴露涉及API在返回响应时,未正确限制或保护敏感数据的访问,导致攻击者可以获取到⽤户的敏感数据,例如:密码、令牌、会话ID等...
作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也被包含在最新的OWASP API TOP 10 2023列表中,由此可见该漏洞的重要性。这表明更多的API可能比注入攻击更容易受到SSRF的威胁。
从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。 主要变化如下图所示: 1. 针对身份认证漏洞,越来越多的...
The OWASP Top 10 provides a clear hierarchy of the most common web application security issues. This helps companies to identify and address issues according to prevalence, potential impact, method of exploitation by attackers and ease or difficulty of detection. ...