Help net security發佈了一篇新的 OWASP API Top 10 對防御者有幫助嗎?
API(應用程式介面)是現代軟體開發中不可或缺的一部分,它們可以讓不同的系統、平台和服務之間進行交互和整合。然而,API也帶來了許多安全挑戰,因為它們暴露了大量的端點,並且可能受到各種攻擊手法的利用。
為了幫助開發者和防禦者了解和預防API的安全風險,OWASP(開放式網路安全專案)基金會每隔幾年就會發布一份API安全風險排行榜,列出了當前最常見和最嚴重的API安全問題。2023年版的排行榜是在2019年版的基礎上進行了更新和調整,以反映攻擊方法的變化。
2023年版的OWASP API安全風險排行榜包括以下十個項目:
- API1:2023 - 物件層級授權不足:API通常會暴露處理物件識別碼的端點,造成物件層級存取控制問題的廣泛攻擊面。每個使用使用者提供的ID存取資料來源的函式都應該考慮物件層級授權驗證。
- API2:2023 - 身份驗證不足:身份驗證機制常常被錯誤地實作,讓攻擊者可以竊取或利用實作缺陷來暫時或永久地假冒其他使用者的身份。系統無法正確地辨識客戶端/使用者,會影響API整體的安全性。
- API3:2023 - 物件屬性層級授權不足:這個類別將API3:2019 - 過度資料暴露和API6:2019 - 大量指派合併起來,重點在於根本原因:物件屬性層級缺乏或不正確的授權驗證。這會導致未授權方暴露或操作資訊。
- API4:2023 - 資源消耗不受限制:處理API請求需要資源,如網路頻寬、CPU、記憶體和儲存空間。其他資源如電子郵件/SMS/電話或生物辨識驗證等,是透過API整合提供的服務,並按請求付費。成功的攻擊可能導致服務拒絕或運營成本增加。
- API5:2023 - 功能層級授權不足:複雜的存取控制政策,具有不同的階層、群組和角色,以及管理員和一般功能之間不清楚的分隔,往往會導致授權缺陷。利用這些問題,攻擊者可以存取其他使用者的資源和/或管理員功能。
- API6:2023 - 敏感業務流程不受限制的存取:這個風險指的是API暴露了一個業務流程,例如購買票券或發表評論,而沒有考慮到如果功能被過度地以自動化方式使用,會對業務造成什麼損害。這不一定是實作錯誤造成的。
- API7:2023 - 伺服器端請求偽造:伺服器端請求偽造(SSRF)缺陷可能發生在API在沒有驗證使用者提供的URI的情況下,取得遠端資源。這使得攻擊者可以強迫應用程式發送一個精心製作的請求到一個意想不到的目的地,即使被防火牆或VPN保護。
- API8:2023 - 安全性配置不當:API和支援它們的系統通常包含複雜的配置,旨在讓API更具可定制性。軟體和DevOps工程師可能會忽略這些配置,或者不遵循安全最佳實務,從而為不同類型的攻擊打開了大門。
- API9:2023 - 不適當的庫存管理:API傾向於暴露比傳統網路應用程式更多的端點,因此正確和更新的文件非常重要。主機和已部署API版本的適當庫存也很重要,以減輕過時API版本和暴露調試端點等問題。
- API10:2023 - 不安全的API消費:開發者往往比使用者輸入更信任來自第三方API的資料,因此採用較弱的安全標準。為了攻擊API,攻擊者會針對整合的第三方服務,而不是直接嘗試破壞目標API。
詳情請看: