首页 > 编程语言 >OWASP API Security Top 10解读

OWASP API Security Top 10解读

时间:2024-06-03 18:29:27浏览次数:28  
标签:10 Top OWASP 安全 API 授权 Security

数字经济时代,无论是互联网商业创新还是传统企业数字化转型,都在推动API数量与应用范围的爆发式增长。从只用于企业内部服务调用的1.0时代,到面向服务架构的2.0时代,再到如今成为开放平台和云原生微服务的3.0时代,API正在成为数字世界的基础设施,在企业的业务体系中发挥着越来越重要的作用。

福兮祸之所倚,API在给企业数字化转型带来巨大便利的同时,也带来了新的安全挑战。由于其开放的特性,API成为了网络攻击的重灾区。Facebook、LinkedIn、Twitter……都因API安全问题遭遇了超大型数据泄露事件。如何对API进行安全防护,应对越发猖獗的API攻击,已经成为企业不得不面对的问题。

图片

OWASP API Security Top 10解读

API安全的重要性早就得到了网安业界的高度重视。OWASP在2019年首次提出了API Security Top 10,总结了API安全面临的十大风险,为企业的API安全防护提供了重要参考。随着API安全形势的不断变化、相关安全实践的不断加深,OWASP在2023年发布了API Security Top 10的内容更新。相比2019的旧版本,此次更新进一步强调了API攻击场景与WEB攻击的差异化,突出API授权管理、资产管理、业务风控等问题。

通过新旧版本的对比,我们能直观的看到API安全风险的变化趋势:

图片

在2023年的API Security Top 10,认证和授权相关的风险占了4条,分别是对象级别授权失效BOLA(API 1)、身份认证失效(API 2)、对象属性级别授权失效(API 3)、功能级别授权失效(API 5)。API漏洞与攻击相关的风险占了3条,分别是资源消耗无限制(API 4)、服务端请求伪造SSRF(API 6)、缺少对自动化威胁的防护(API 8)。API资产管理与安全配置相关风险占了3条,分别是错误的安全配置(API 7)、存量资产管理不当(API 9)、不安全的第三方API(API 10)。

明确了API面连的安全风险,API安全防护的要点也就呼之欲出:

1.强化API访问鉴权,实现最小化授权

将访问鉴权的范围从“人”扩展为“人+机”,基于身份信息实现最小化的API访问授权,避免攻击者利用API授权漏洞,非法获取敏感数据或者完全掌控账户(API 1),伪造和盗用合法身份信息(API 2),越权访问信息和资源(API 3),非法获取API请求(API 5)。

2.监控API访问流量,实时发现并阻断攻击

实时监控API访问流量,及时发现异常访问行为,防范DoS攻击(API 4)、内部服务枚举和信息泄露(API 6),自动监测并防御恶意软件、蠕虫病毒、僵尸网络等自动化威胁(API8)。

3.统一管理API资产,规范API安全设置

建立纵览全局的API资产管理体系(API 9),监测API安全状态并修补API安全漏洞(API10),通过代理API实现API安全配置的统一管理(API 7),最终建立API的全生命周期管理机制。

标签:10,Top,OWASP,安全,API,授权,Security
From: https://blog.csdn.net/trusfort/article/details/139406763

相关文章

  • P10550 [THUPC2024] 贸易 题解
    正式场上拿了这题的首\(A\),让队伍不至于无奖而返。思路容易发现题目的买入卖出过程形似一个括号匹配。那么我们可以对每一种类型的物品做括号匹配。若是一个匹配的括号在询问区间内则可以记入答案。就变成了一个二维数点问题。离线树状树组即可。Code#include<bits/stdc......
  • kylinV10SP3安装MySQL5.7.44
    需要的安装包:mysql-community-common-5.7.44-1.el7.x86_64.rpmmysql-community-libs-5.7.44-1.el7.x86_64.rpmmysql-community-client-5.7.44-1.el7.x86_64.rpmmysql-community-server-5.7.44-1.el7.x86_64.rpm开始安装,安装顺序:common->libs->client->serverrpm-ivhmysq......
  • 2024最新win10专业版密钥永久使用
    Win10专业版是微软面向专业人士和组织推出的Windows10操作系统版本,它包含了面向家庭用户的Win10家庭版的所有功能,并额外提供了许多专业功能,例如:BitLocker设备加密:用于保护设备上的数据,即使设备丢失或被盗也能确保数据的安全。远程桌面连接:允许用户从远程位置连接到他们的......
  • 在 Windows 10 中全局安装 tree 命令
    在Windows10中全局安装tree命令的步骤如下:1.下载TreeforWindows工具包。可以从官方网站https://gnuwin32.sourceforge.net/packages/tree.htm下载最新版本的Binaries.zip压缩包。2.解压下载的Binaries.zip压缩包。在解压后的文件夹中,找到bin目录,里面有一个......
  • GM7109 150KHz,3A降压开关稳压器芯片IC
    一般描述    GM7109系列是专为降压型开关稳压器提供所有有源功能,并驱动最大负载电流高达3A的线路和负载调节(仅适用于ESOP8封装产品)。GM7109可在3.3V,5V的固定输出电压,和一个多功能可调输出版本。这些调节器使用简单,需要最少数量的外部元件。该功能包括内部频率补偿和......
  • BK7258--wifi音视频soc芯片,1080P H264 wifi低功耗保活,内置BLE,音频code,psram,flash,USB2.
    BK7258是上海博通推出的高度集成的Wi-Fi+BLE combo音视频芯片,支持UVC和DVP摄像头,该芯片集成音视频外设及接口,1080P,H.264,低功耗,内置flash,dsp,psram,驱屏,回声消除及降噪等,广泛适用于可视猫眼,门锁,门铃,ipc,内窥,儿童相机等应用市场。可视门铃应用:DVP接口支持720p25fps图像采集;MJPE......
  • AI预测体彩排3采取888=3策略+和值012路一缩定乾坤测试6月3日预测第10弹
        昨天的第二套方案已命中!今天继续基于888=3的大底进行测试,今天继续测试,好了,直接上结果吧~    首先,888定位如下:    百位:6,4,7,8,2,9,1,0    十位:2,3,4,1,6,7,8,9    个位:3,4,5,6,7,0,8,9    方案一:    一次缩......
  • AI预测福彩3D采取888=3策略+和值012路一缩定乾坤测试6月3日预测第10弹
             昨天的第二套方案再次成功命中!今天继续基于888=3的大底,使用尽可能少的条件进行缩号。好了,直接上结果吧~     首先,888定位如下:    百位:7,6,8,5,9,2,1,0    十位:6,7,8,5,9,2,1,0    个位:2,3,1,4,6,7,8,9    ......
  • BUUCTF-Misc(91-100)
    [MRCTF2020]CyberPunk运行一下,他说2020.9.17才开始然后改一下系统时间就拿到flagflag{We1cOm3_70_cyber_security}[安洵杯2019]Attack参考:[BUUMISC刷题记录安洵杯2019]Attack-云千-博客园(cnblogs.com)找到了一个formost分离一下,在压缩包找到了然后在导出......
  • 更改Windows11/10自带的微软拼音输入法的“候选词字体”
    候选字体开启半全角切换快捷键自定义短语自定义短语符号名称符号快捷短语引号「」yh单引号『』yh全角空格×2  kk叉(乘号)×cha六角括号〔〕ljkh超级管理员默认用户名administratoradmin......