API 7 服务端请求伪造 (Server Side Request Forgery)概念攻击者通过API接⼝利⽤服务端请求伪造漏洞在⽬标服务器上发起未经授权的请求,从⽽获取敏感信息或者执⾏任意操作的攻击⽅式。
从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
场景一 :客户端通过向 /api/v1/images接⼝发送 POST 请求来上传⼤图像。上传完成后,API 会创建多个不同⼤⼩的缩略图。由于有没有限制上传图像的⼤⼩和数量,攻击者可使⽤未受限制的资源消耗攻击导致API在创建缩略图的过程中⽤尽了所有可⽤的内存,导致系统瘫痪或者拒绝服务。场景二 :为了激活信...
通过对OWASP API Security TOP 10 (2023版本)的详细解读,与2019年的OWASP API安全TOP10相⽐,2023的API TOP 10 发⽣重要的变化。⾸先,API安全形势不断升级,新的威胁和漏洞不断出现,这也使得安全专业⼈员在保护API⽅⾯⾯临更多挑战。与2019年相⽐,2023年的OWASP API安全TOP 10中,验证和授权缺陷...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。
API 1 对象级别授权失效(⽆变化) 对象级别授权失效这个安全⻛险在2019和2023版本中都是TOP1,是当前API⾯临最常⻅也是危害最⼤的安全⻛险,也是在渗透测试攻防对抗中常⻅的⽔平越权的安全漏洞。API 2 认证失效(更新) 从2019API2的⽤户认证失效更新为2023API2的认证失效,更加侧重于API身份的...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃...
以下是2023 年 OWASP 十大 API 安全风险以及与 2019 年版本的比较:前两个几乎保持相同:损坏的对象级身份验证 (API1) 和损坏的身份验证(损坏的用户身份验证;API2),API3 现在打破了对象属性级别的授权。它曾经是过度的数据暴露,API4从资源匮乏&限速到资源消耗无限制,API5 保持不变:损坏的功能级别授权,...
从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。 10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
对象级授权失败源于API端点上缺乏适当的访问控制,从而允许未经授权的用户访问和修改敏感数据。BOLA在所有API攻击中约占40%,是最常见的API安全威胁。对象级授权失败API漏洞自2019年以来一直是OWASP列表中的第一大漏洞,并在2023年版本中同样保持首位。2、身份验证失败 身份验证失败使攻击者能够使用被盗的身份验证令牌、...