2023 OWASP API十大安全风险 - APIsec

开放Web应用程序安全的最佳实践。它通过编纂行业标准、制作免费资源（如文章、方法、文档、工具和技术）帮助开发人员保护数据安全。2019年，OWASP首次将API安全前十名列入其年度报告，这一列表成为软件开发中必须解决的安全问题的标准参考文件。2023年，该列表进行了升级，合并了旧问题并新增了几个重要的安全问题。

2023年OWASP API十大安全风险

OWASP在2023年更新了API安全风险的排名，以下是最新的十大风险概述：

1. 对象级授权损坏

对象级授权损坏是数据泄露或未经授权的操作。

2. 身份验证失败

身份验证失败使攻击者能够冒充合法用户，执行未经授权的操作。这种风险通常源于弱密码策略、不安全的身份验证机制或缺乏多因素验证。

3. 中断的请求验证

中断的请求验证允许攻击者通过操纵API请求，执行未经授权的功能访问。这种漏洞可能会暴露业务流程，例如购买机票或发布评论，并可能被自动化工具滥用，给业务带来损失。

4. 不安全的配置

不安全的配置包括错误的HTTP标头、不必要的HTTP方法、错误的跨源资源共享（CORS）设置以及包含敏感信息的错误消息。这些问题可能被攻击者利用，特别是在旧版API或未修补的端点中。

5. 第三方服务集成的风险

攻击者可能通过集成第三方服务，而非直接攻击目标API，来破坏API的安全性。这种方式通常难以检测，但可能带来严重后果。

2023年新增的安全风险

破碎对象属性级别授权（BOPLA）

BOPLA结合了2019年API安全十大中的“过度数据暴露”和“批量分配”问题。当API未正确过滤数据对象或允许用户更改敏感属性时，就可能导致敏感信息泄露或权限提升。

示例： 某约会应用允许用户举报不当行为，但API端点暴露了敏感的用户属性（如全名和最近位置），使攻击者能够获取不应访问的信息。

无限制的资源消耗

无限制的资源消耗是指API缺乏防止滥用的保护措施，可能导致拒绝服务（DoS）攻击或高昂的财务成本。

示例： 某社交网络的“忘记密码”功能通过短信发送一次性令牌，但攻击者通过脚本发送大量请求，导致API调用第三方服务发送大量短信，从而造成经济损失。

对敏感业务流的无限制访问

攻击者可以识别并利用API驱动的业务流程漏洞，阻止其他用户正常使用应用程序功能。

示例： 某科技公司在感恩节发布新游戏机，攻击者通过脚本抢购库存，导致合法用户无法购买，并将产品高价转售。

服务器端请求伪造（SSRF）

SSRF漏洞允许攻击者通过API控制目标服务器检索的远程资源，从而访问私有数据、扫描内部网络或执行远程代码。

示例： 某社交网络允许用户通过URL上传个人资料图片，攻击者利用该功能发送恶意URL，扫描内部网络端口。

APIs的不安全消费

不安全消费关注API消费者的风险。当应用程序从第三方API获取数据时，若未对数据进行充分验证，可能导致攻击者利用这些数据发起攻击。

示例： 某API依赖第三方服务处理用户地址，但攻击者通过第三方服务注入SQLi有效负载，导致数据库泄露敏感数据。

总结

2023年的OWASP API安全十大风险更新反映了API安全领域的新趋势和挑战。开发人员和安全团队需要密切关注这些风险，并采取适当的措施来保护API的安全性。通过实施强大的验证机制、限制资源消耗、监控第三方服务以及定期更新和修补API，可以有效降低这些风险。