合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
开放全球应用程序安全项目(OWASP) 最近发布了自 2019 年以来其 API 安全 Top 10 文档的第一个更新版本的候选版本(草案)。让我们回顾一下在该草案中提议的更改,看看哪些关键因素正在影响当今的 API 漏洞,以便您可以更好地了解保护 API 的旅程。
面对无处不在的安全威胁,就让 Akamai 安全解决方案为你竖起“防护盾牌”!
延伸阅读,了解Akamai安全解决方案
随时随地,帮助您捕捉每一个安全风险!
OWASP 是一个非政府组织,它根据社区反馈和专家评估创建安全意识文档,描述当今组织中最常见的漏洞类型。
OWASP Top 10 于 2003 年首次发布,并定期更新。 TOP 10 名的受众范围从开发人员到安全分析师再到 CISO。 有些人专注于文档的更多技术方面,有些人使用它来确保他们购买的产品具有正确的覆盖范围。
除了 Web 应用程序安全 Top 10 之外,OWASP 还发布了一份单独的 API Top 10 文档,以强调 API 安全需要一种独特的方法。 OWASP API 安全项目“专注于理解和减轻应用程序编程接口 (API) 的独特漏洞和安全风险的策略和解决方案。”
API Top 10 自 2019 年以来没有更新过。从那时起,各行业对 API 的依赖变得更加普遍,70% 的开发人员今年预计将增加 API 的使用。
OWASP API 安全 Top 10 候选发布版本的最新更新现已推出。 让我们回顾一下今天的 API 漏洞格局有何不同(图 1)。
图 1:2019 年以来 OWASP API Top 10 的变化
API3:2023 BOPLA 与 API1:2023 BOLA 有什么不同
批量分配和过度数据泄露现在合并到损坏对象属性级别授权(BOPLA) 中。失效的对象级授权 (BOLA) 和 BOPLA 之间的区别在于,BOLA 引用整个对象,而 BOPLA 引用对象内部的属性(图 2)。
图 2:BOPLA 指的是对象内部的属性
在新的定义中要求防御者更深入地研究对象,这增加了检测攻击所需的复杂性和业务逻辑理解水平。
被 BOLA 涵盖并不意味着您也被 BOPLA所涵盖,将批量分配和过度数据暴露合并到一个类别中强调了对象中属性所需的注意。
对于选择 API 安全产品的 CISO 来说,这种区别非常重要,因为他们需要确保产品涵盖这两种攻击。
API6:2023 服务器端请求伪造已加入,API8:2019 注入已退出
OWASP 社区放弃了注入的严重性并添加了服务器端请求伪造 (SSRF)。 这是一个大胆的举措,它表明托管安全服务提供商的格局正在发生变化,以及人们对安全产品开箱即用地解决威胁的期望正在发生变化。 此更改还允许在TOP 10中提供另一个攻击媒介的详细信息。
以下是 OWASP 社区选择进行此更改的一些建议原因:
API8:2023 缺乏对自动威胁的保护是TOP 10 中的新内容
OWASP 建议,随着时间的推移,限速防御措施的有效性会降低,除了实施缺陷或任何其他漏洞外,机器人程序可以通过按预期使用 API 以自动化方式对公司造成伤害。 详情参考OWASP 对 Web 应用程序的自动化威胁,它没有提供针对 API 的独特视角,但采用了通用方法。
以下是您需要了解的有关此补充的信息:
API10:2023 API 的不安全使用也是TOP 10 中的新增内容
由于-aaS 类产品的迅速发展,API 往往需要与不同的内部和外部(第三方)服务进行集成和通信,发送数据和接收数据。 在这些情况下遵循“基本”安全规则也很重要,安全产品在这个领域检测/主动防御可能会很复杂。
OWASP 在其文档中包含了一系列建议,包括一般建议和特定于 API 的建议,例如:
新的 OWASP API 安全 Top 10发布候选版本是朝着 API 特定方向迈出的重要一步,它与以应用程序为中心的 Top 10 有所不同,并强调了 API 威胁的独特性。
需要记住的一些要点包括:
Akamai 跟踪 API 的使用情况和 API 流量,作为其互联网状况 (SOTI) 报告的一部分。 您可以阅读以前的 SOTI 报告以了解更多信息,并查看每个季度的新 SOTI 报告。
了解更多
TOP