OWASP API安全十大风险 - Medium

OWASP API 安全十大风险（2023年版）

开放式 Web 应用程序安全项目（OWASP）发布的“OWASP API 安全前 10”列出了 API 中最关键的安全风险。2023 年的最新版本重点分析了 API 环境中常见的漏洞和错误配置。以下是详细的风险列表及其简要说明：

API1:2023 – 对象级授权（BOLA）中断

攻击者通过修改 API 请求（如更改 URL 或有效负载中的 ID），利用访问控制不足的漏洞来访问或操纵数据（如用户记录）。这种漏洞通常源于未能正确验证用户对特定资源的访问权限。

API2:2023 – 身份验证失败

弱身份验证机制可能允许攻击者冒充合法用户。这通常是由于以下原因导致的：

• 不安全的令牌处理。
• 使用弱密码。
• 缺乏多因素身份验证（MFA）。

API3:2023 – 对象属性级授权中断

当 API 在缺乏正确访问控制的情况下暴露敏感对象属性（如内部字段）时，攻击者可能会利用这些漏洞查看或修改受限数据。

API4:2023 – 不受限制的资源消耗

缺乏速率限制或资源配额的 API 容易受到拒绝服务（DoS）攻击。攻击者通过发送大量请求使系统过载，从而导致服务不可用。

API5:2023 – 功能级别授权中断

攻击者利用缺失或配置错误的访问控制机制，调用未经授权的 API 功能。例如，普通用户可能通过漏洞访问管理端点。

API6:2023 – 对敏感业务流的无限制访问

当 API 未对关键业务流程（如支付系统）提供充分保护时，攻击者可能滥用这些功能。例如，利用自动化工具进行批量购买以耗尽库存。

API7:2023 – 服务器端请求伪造（SSRF）

攻击者诱使 API 服务器向内部或外部系统发出未经授权的请求。这可能导致敏感数据泄露或内部服务暴露。

API8:2023 – 安全配置错误

API 的配置错误（如过于宽松的 CORS 策略或暴露的调试终结点）可能被攻击者利用，导致意外的安全问题。

API9:2023 – 库存管理不当

缺乏 API 文档或监控可能导致“影子 API”（未记录的端点）的存在。这些端点容易被攻击者利用，因为它们通常未被检测到或保护。

API10:2023 – 不安全的 API 消费

信任第三方 API 或未经验证的用户输入的 API 可能导致注入攻击或数据篡改。例如，攻击者可能利用这些漏洞操控数据或执行恶意操作。

API 安全现状与趋势

• 流行率：2023 年，92% 的组织报告了 API 安全事件，其中 60% 的组织在过去两年中经历了数据泄露或违规事件。
• 常见主题：如戴尔、T-Mobile 和起亚等案例所示，授权中断（如 BOLA 和 BFLA）及配置错误是最常见的安全问题。
• 新兴风险：业务逻辑滥用和硬编码 API 密钥（例如 RabbitR1）正逐渐成为关注的重点。
• 预防措施：建议采用 OWASP 提供的最佳实践，包括：
  • 实施强身份验证机制。
  • 启用速率限制。
  • 持续监控 API 活动。

通过遵循这些建议，开发者和组织可以显著降低 API 安全风险，保护系统免受潜在攻击。

原文链接: https://medium.com/@ogounaya/owasp-api-security-top-10-41418b647c8e