OWASP十大API安全风险排名

首页 / 业界 / 资讯 /  正文
作者:安全419
发布于:2023-08-17
OWASP是一个致力于提升Web应用程序安全的非营利组织,它提供了一系列的安全项目、工具、文档和技术资源,帮助开发人员、安全专家和组织构建和维护安全的Web应用程序。考虑到API技术的快速发展和威胁演变,最近OWASP更新发布了2023 OWASP API安全十大风险,旨在帮助人们在应用程序开发时规避常见的API安全风险。



1、对象级授权失败(BOLA)
 
对象级授权失败源于API端点上缺乏适当的访问控制,从而允许未经授权的用户访问和修改敏感数据。BOLA在所有API攻击中约占40%,是最常见的API安全威胁。对象级授权失败API漏洞自2019年以来一直是OWASP列表中的第一大漏洞,并在2023年版本中同样保持首位。
 
2、身份验证失败

 
身份验证失败使攻击者能够使用被盗的身份验证令牌、凭据填充和暴力攻击来获得对应用程序的未经授权访问。Booking.com中的社交登录功能不正确(现已修复)就是一个身份验证失败的例子,这可能导致潜在的ATO攻击。自2019年以来,此API身份验证安全漏洞一直是OWASP列表中的第二大漏洞。
 
3、对象属性级别授权失败
 
对象属性级别授权失败合并了通过过度数据暴露(之前在2019年OWASP API安全10大问题中排名第三)或大规模分配(之前在2017年列表中排名第六)获得对敏感信息的未经授权访问而发生的攻击。这两种技术都基于API端点操作来访问敏感数据。
 
4、无限制资源消耗
 
此漏洞源于未正确实现或忽视实现资源消耗限制的API,使其极易受到暴力攻击。“无限制资源消耗”取代了OWASP API Security Top 10(缺乏资源和速率限制)中的前4位。然而,尽管名称发生了变化,但该漏洞总体上保持不变。
 
5、功能级别授权失败

 
当未正确实施授权时,会形成此威胁,导致未经授权的用户能够执行API功能,例如添加、更新或删除客户记录或用户角色。自2019年以来,BFLA一直保持着第五名的位置。
 
6、无限制访问敏感业务流
 
这种新的威胁已经取代了Mass Assignment,成为OWASP API安全排行榜前10的第6名,当API暴露了一个业务流,而没有补偿如果通过自动化过度使用该功能可能造成的危害时,这种威胁就会显现出来。要利用此漏洞,攻击者需要了解相关API背后的业务逻辑,找到敏感的业务流并自动访问它们,以便对业务造成损害。
 
7、服务器端请求伪造(SSRF)
 
当用户控制的URL通过API传递并由后端服务器执行和处理时,就会发生服务器端请求伪造。如果后端服务器试图连接到用户提供的URL,就会出现API安全风险,这为SSRF打开了大门。此威胁已取代Mass Assignment,成为OWASP API十大安全列表中的第7名。
 
8、安全配置错误
 
安全错误配置是一大类安全错误配置的总称,这些错误配置通常会对整个API安全产生负面影响,并在无意中引入API漏洞。这一威胁在2019年发布的OWASP API安全十大威胁中排名第七,2023年该威胁得到保留。
 
9、存量资产管理不当
 
这种威胁是由于过时或不完整的清单造成的,这可能会在API攻击面中产生未知的漏洞,从而使识别应该淘汰的旧版本API变得困难。不当的存量管理已经取代不当的资产管理,成为OWASP API安全性前十名中的第9名,虽然名称已经改变,以强调准确和最新的API存量的重要性,但威胁仍然是一样的。Optus的漏洞就是一个很好的例子。Optus是澳大利亚第二大电信公司,由于“被遗忘”的API暴露给公众,导致超过1120万客户记录被曝光。
 
10、不安全的API使用

 
API的不安全使用漏洞源于API客户端对API的不当使用,例如绕过API身份验证安全控制或操纵API响应,这可能导致未经授权的访问和数据暴露。可以通过使用API数据本身或滥用第三方集成问题来利用此API漏洞。API的不安全使用已经取代了不充分的日志记录和监控,成为OWASP API安全性前十名中的第10名。与此类别最相关的例子是臭名昭著的Log4Shell攻击。