2023年OWASP十大API安全风险清单.docx

2023年OWASP十大API安全风险清单API1：中断的对象级授权AP1.倾向于暴露处理对象标识符的端点，从而创造出对象级访问控制问题的广泛攻击面。因此在使用用户ID访问数据源的每个函数中，应当考虑执行对象级授权检查。API2：无效的身份认证身份验证机制通常实施不正确，允许攻击者破坏身份验证令牌或利用实现缺陷暂时或永久假定其他用户的身份，损害系统识别客户端/用户的能力，会损害整体API安全性。API3：失效的对象属性级授权此类别结合了AP1.3:2019-过度的数据泄露和AP1.6:2019-批量分配，关注的根本原因是对象属性级缺乏授权验证或验证不当，从而导致信息泄露或越权访操纵。API4：不受限制的资源消耗满足AP1.请求需要网络带宽、CPU、内存和存储等资源。其它资源如邮件/SMS/电话通话或生物特征验证由服务提供商通过AP1.集成提供并按照请求进行支付，如果攻击成功可导致拒绝版务后果或运营成本上升。API5：无效的功能级授权具有不同层次结构、组和角色的复杂访问控制策略，以及管理功能和常规功能之间的不明确分离，往往会导致授权缺陷。通过利用这些问题，攻击者可以访问其他用户的资源和/或管理功能。API6：对敏感业务流程的无限制访问易受到此风险影响的AP1.会暴露业务流(例如买票或发布评论),而不会弥补如果以自动化方式过度使用，该功能如何对业务造成损害,这一风险不一定源自实现问题。API7：服务器端请求伪造当Ap1.在没有验证用户所提供UR1.的情况下提取远程资源时，可能就会引发服务器端请求伪造(SSRF)缺陷，这可以可使攻击者诱骗应用程序将构造的请求发送给未预期目的地，甚至即使受到了防火墙或VPN的保护也是如此。API8：安全配错误API和支持它们的系统通常包含复杂的配置，旨在使AP1.更具可定制性。软件和DevOps工程师可能会错过这些配置或者在配置时不遵循安全最佳实践，从而为不同类型的攻击打开了大门。API9：清单管理不当与传统的呢b应用程序相比，API往往会公开更多的端点，因此正确和更新的文档非常重要。主机和已部署API版本的适当清单对于缓解已弃用的AP1.版本和公开的调试终结点等问题也很重要。API10：不安全的API消耗开发人员偏向于信任从第三方API接收的数据而不是用户输入的数据，因此倾向于采用较弱的安全标准。为了破坏API,攻击者会攻击集成的第三方服务，而不是试图直接破坏目标API。