从列表底部开始,这些是组织在 2023 年需要注意的OWASP Top 10API 安全风险以及可以采取的缓解这些风险的具体措施。10. API 的不安全使用 当应用程序无法验证、过滤或清理从外部 API 接收的数据时,就会发生 API 的不安全使用。这可能会导致注入攻击或数据泄露等安全漏洞。随着组织越来越依赖第三方 API 来提供关键功...
在2019版本中,API 7是安全配置错误,然而在2023年新版本中,API 7被新增的服务器端请求伪造(SSRF)所取代。安全配置错误在新版本中并未被取消,而是排名降到了API 8,仍旧占据一席之地。 作为在API:2023中新增的安全风险,服务器端请求伪造(SSRF)在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也...
针对API这种“易攻难守”的新兴资产的安全治理显得愈发重要。 OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问...
In 2023, OWASP released an updated version of the API Security TOP 10. This latest iteration includes new and emerging threats, such as unauthorized access to sensitive business functions and server-side request forgery (SSRF). It also emphasizes the importance of proper API asset management and ...
在2023版OWASP API安全风险Top10清单中,权限管理不当被认为是API最主要的风险之一。相关的风险类型有:...
2.1 认证和授权相关风险在2023版的API Security Top 10清单中,认证和授权相关的风险占了4条,分别为对象级授权失效(BOLA)、身份认证失效、对象属性级授权失效、功能级授权失效。 对象级别授权失效 相关风险介绍: 攻击示例场景: 一家汽车制造商通过一种移动API启用了对其车辆的远程控制,用于与驾驶员的手机通信。该API...
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年发布了API Security Top 10(候选版)的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。
2023年OWASP API Security Top 10 中,“新增”的API风险包括:API6、API7、API10: API6-不受限制地访问敏感业务流:当API暴露了一个业务流,攻击者利用API背后的业务逻辑找到敏感的业务流,并通过自动化过度使用该功能时,则会对业务造成损害。 API7-服务器端请求伪造:当用户控制的URL通过API传递并由后端服务器执行...
从以上最新的API Security Top 10(候选版),可以看到,现在API安全和传统的Web安全有很大区别,一方面需要在设计和开发阶段,对API的安全性进行良好的构建和设计;另一方面还需要在进入运维阶段后,针对API进行专项型的防护,根据API的特点构建全生命周期的防护体系,从而更好地应对各类风险,做到未雨绸缪、防患于未然。
OWASP Top 102023是指2023年最常被黑客攻击的十大安全漏洞,SEC是Security(安全)的缩写。 OWASP Top 102023(Sec是什么意思) OWASP(开放式网络应用安全项目)是一个国际性的非营利组织,致力于提高软件开发的安全性,每年,OWASP都会发布一份名为“Top 10”的排名榜单,列出了当前最常见和最严重的十大Web应用程序安全风险...