从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
在2019版本中,API 7是安全配置错误,然而在2023年新版本中,API 7被新增的服务器端请求伪造(SSRF)所取代。安全配置错误在新版本中并未被取消,而是排名降到了API 8,仍旧占据一席之地。 作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也...
3、API9-库存管理不当:“库存管理不当”替代了2019版本的API9-资产管理不当,虽然名称已经改变,但风险仍然是一样的,2023年版本更加强调精准管理、及时更新API库存的重要性。 从2023年“更新”的API风险来看,整体变化不大,重点强调了“授权”相关API风险,将授权类的API安全风险明确分为了3类,分别对应不同的级别,...
针对API这种“易攻难守”的新兴资产的安全治理显得愈发重要。 OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows)概念敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃动...
上期文章我们详细解读了OWASP API Security TOP10 2023版本中的TOP 1-5,本期文章将继续对OWASP API Security TOP10 2023版本中的TOP 6-10做详细的解读。 API 6 不受限访问敏感业务 (Unrestricted Access to Sensitive Business Flows) 概念 敏感业务流程没有考虑限制⾃动化⼯具过度使⽤造成的损害,利⽤⾃...
这两个问题在2023年版本的OWASP API TOP 10中被合并为API3 对象属性级别授权失效。API3:2019 过度数据暴露涉及API在返回响应时,未正确限制或保护敏感数据的访问,导致攻击者可以获取到⽤户的敏感数据,例如:密码、令牌、会话ID等,并利⽤这些信息进⼀步发动攻击。API6:2019 批量分配是指攻击者将多个参数⼀...
经典的TOP10漏洞 A1 注入漏洞 在 2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的容易,同时也证明此漏洞的危害有多么严重。攻击方式利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令。漏洞原因未审计的数据输入框使用
OWASP Top 102023是指2023年最常被黑客攻击的十大安全漏洞,SEC是Security(安全)的缩写。 OWASP Top 102023(Sec是什么意思) OWASP(开放式网络应用安全项目)是一个国际性的非营利组织,致力于提高软件开发的安全性,每年,OWASP都会发布一份名为“Top 10”的排名榜单,列出了当前最常见和最严重的十大Web应用程序安全风险...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。