OWASP API安全十大风险简介 - Graylog

如果你看过《星际之门》（Stargate），那么你可能对应用程序编程接口（API）的工作原理有了一定的了解。虽然API无法像外星虫洞那样让你穿越银河系，但它们确实充当了数字世界中的门户，允许数据在不同的应用程序之间传输。然而，随着敏感数据在应用程序之间的流动，每个API都可能成为攻击者利用的潜在入口点。随着攻击者越来越多地将API作为目标，保护API已成为企业数据保护计划中的重要组成部分。

无论您是开发人员还是系统架构师，了解OWASP API安全十大风险（OWASP API Security Top 10）都能帮助您更好地保护数据。

什么是OWASP？

开放Web应用程序安全项目（OWASP）是一个非营利组织，致力于通过教育、工具和协作来提升软件安全性。以下是一些由OWASP社区主导的关键项目：

• OWASP十大系列：涵盖云计算、桌面应用、Docker、低代码/无代码平台、机器学习、移动应用、持续集成/持续交付（CI/CD）、客户端、隐私和无服务器Web应用的关键安全风险列表。
• 移动应用安全：提供移动应用安全标准和全面的安全测试指南。
• ModSecurity核心规则集：包含防止常见攻击类别的通用检测规则。
• 软件保证成熟度模型：为制定和实施软件安全策略提供框架。
• Web安全测试指南：一份全面的指南，用于测试Web应用程序和Web服务的安全性。

什么是OWASP API安全十大风险？

OWASP API安全十大风险（OWASP API Security Top 10）最初于2019年发布，旨在提高人们对API安全问题的认识。通过对实际案例的分析和研究，OWASP总结了十大最关键的API安全风险。

OWASP API安全十大风险概述

API1:2023 断开对象级授权（BOLA）

对象级授权是一种代码级别的用户访问验证机制。通过BOLA，API可能会共享有关端点的信息，攻击者可以利用这些信息获得未经授权的数据访问，从而导致数据泄露、丢失或篡改。

解决方案：开发人员应对每个使用用户ID访问数据源的函数进行对象级授权检查。

API2:2023 身份验证失败

由于身份验证机制的实施不当，攻击者可能通过凭据攻击获得未经授权的访问权限。易受攻击的API可能会被攻击者用来冒充合法用户。

解决方案：开发人员应全面了解所有可能的身份验证流程，并尽可能实现多因素身份验证（MFA）。

API3:2023 断开对象属性级授权

此风险结合了以下两种威胁：

• 过度数据暴露：API返回了不应与用户共享的对象属性。
• 批量分配：攻击者可以更改、添加或删除敏感对象属性的值。

解决方案：开发人员应限制用户对对象属性的访问，并减少API返回的数据量。

API4:2023 无限制资源消耗

API请求会消耗网络带宽、CPU、内存和存储等资源。如果未正确设置限制，API可能会面临拒绝服务（DoS）攻击的风险。

解决方案：开发人员应实施速率限制和节流机制，以防止API消耗过多资源。

API5:2023 功能级别授权（BFLA）中断

BFLA问题发生在用户访问权限级别。攻击者可能通过以下方式滥用权限：

• 标准用户访问管理端点。
• 通过更改HTTP方法执行敏感操作。
• 猜测端点URL和参数。

解决方案：开发人员应配置和监控授权模块，并采用默认拒绝模式。

API6:2023 对敏感业务流的无限制访问

API通常驱动业务逻辑层（BLL），定义和限制应用程序如何使用数据库。对业务流的过度访问可能会暴露敏感数据，或通过自动化访问改变数据管理方式。

解决方案：开发人员应识别所有可能损害组织的业务流程，并采用设备指纹识别、验证码、机器人检测工具或IP阻止等保护措施。

API7:2023 服务器端请求伪造（SSRF）

SSRF攻击通过伪造请求源，使API从远程源获取未经验证的数据，从而将数据发送到意外位置。

解决方案：开发人员应隔离资源获取机制，并在允许列表中明确定义可接受的远程资源。

API8:2023 安全配置错误

API可能存在不安全的默认配置或复杂的安全设置，攻击者可以利用这些配置漏洞。

解决方案：开发人员应在API生命周期中实施可重复的强化流程，监控配置，并通过自动化工具评估配置的安全性。

API9:2023 库存管理不当

由于API数量激增，组织可能无法全面了解API及其端点的数量、数据存储和共享情况。这可能导致以下盲点：

• 文档盲点：缺乏API的用途、版本、环境等信息。
• 数据流盲点：缺乏对敏感数据共享的可见性。

解决方案：开发人员应清点并记录所有API及其相关信息，并将文档构建集成到CI/CD管道中。

API10:2023 API的不安全消费

当从第三方API接收数据时，安全标准可能会被放宽，例如输入验证和净化不充分，或通过未加密的通道进行通信。

解决方案：开发人员应对服务提供商进行安全尽职调查，始终使用安全通信通道（如TLS），并验证和净化接收到的数据。

Graylog API安全：持续扫描与威胁检测

Graylog API Security能够在运行时对API流量进行持续扫描，在攻击者提取数据或发起攻击之前检测并发出警报。通过预配置的签名，Graylog可以识别OWASP API安全十大风险中的常见威胁，帮助企业主动发现并暴露潜在的恶意流量。此外，Graylog还会捕获请求和响应的详细信息，提供一个易于访问的数据存储，用于分析所有API的聚合数据及单个API调用的详细信息。

总结

OWASP API安全十大风险为开发人员和组织提供了一个全面的指南，帮助识别和缓解API中的关键安全问题。通过了解这些风险并采取适当的防护措施，企业可以显著提升API的安全性，保护敏感数据免受攻击者的威胁。同时，像Graylog这样的工具可以进一步帮助企业实现API安全的自动化监控和威胁检测，为整体安全策略提供有力支持。

原文链接: https://graylog.org/post/an-introduction-to-the-owasp-api-security-top-10/