解读OWASP API安全十大风险 - Invicti

尽管OWASP十大榜单在安全领域非常有用，但它们并不以清晰易读而著称。为了帮助大家更轻松地理解2023年OWASP API安全十大风险，我们将通过更通俗的语言来解析这些风险类别。希望通过这种方式，能让每个API风险类别的核心问题更加直观。

API风险#1：请求并获取

API的核心功能是提供对应用程序数据和功能的自动化访问。创建一个API端点来提供客户账户详细信息可能很简单，但最大的挑战在于确保只有授权用户和系统可以访问这些数据。如果某些资源（如客户信息）仅凭知道正确的URL和对象ID（例如客户编号）就能被任意访问，那么就可能导致严重的数据泄露事件，比如Optus黑客事件。

API风险#2：身份验证的薄弱环节

在使用API时，身份验证是至关重要的。弱身份验证机制可能会被恶意行为者利用，他们可以通过暴力破解、凭证填充甚至篡改JWT令牌等方式绕过验证。一旦攻击者成功绕过身份验证，其他的安全风险将接踵而至。

API风险#3：权限控制的缺失

不同用户对数据的访问权限应有所区别。例如，普通员工可能只需要查看基本的联系信息，而管理员则需要访问更敏感的数据。然而，在API中实现这种权限控制往往非常困难。如果权限控制不到位，攻击者可能会通过访问客户账户对象，获取该账户的所有数据。

API风险#4：拒绝服务攻击（DoS）

虽然数据泄露常常成为焦点，但攻击者并不总是需要通过API窃取数据。拒绝服务（DoS）攻击是针对API最常见的攻击方式之一。由于API设计的自动化特性，如果没有对请求数量进行限制，攻击者可以通过大量请求耗尽资源，导致API无法正常运行，同时增加运营成本。

API风险#5：操作权限的滥用

API不仅公开数据，还允许对数据进行操作。例如，REST API通常支持GET、PUT和DELETE等方法。如果攻击者通过修改请求头，将GET更改为DELETE，就可能删除数据。这种操作权限的滥用会带来极大的安全隐患，尤其是在缺乏严格权限控制的情况下。

API风险#6：滥用自动化操作

滥用API的自动化功能可能对业务造成严重影响。例如，攻击者可以利用API进行自动化竞价、囤积高需求商品或向预订系统发送大量请求，阻止合法用户访问。虽然这些行为可能不会直接导致服务中断，但会对业务运营造成重大损失。

API风险#7：不安全的外部资源请求

从外部网站获取资源是API服务器，攻击者可能借此绕过内部系统的安全防护。

API风险#8：配置错误导致的漏洞

构建一个安全的生产API并非易事。任何技术堆栈中的安全配置错误都可能被攻击者利用。例如，未修补的组件漏洞、权限配置过大或加密机制薄弱等问题，都可能成为攻击者的突破口。

API风险#9：旧版本API的遗留问题

在API更新时，通常会保留旧版本以确保兼容性。然而，这些旧版本API往往容易被忽视，缺乏安全更新和监控，成为攻击者的目标。因此，API发现和管理对于确保安全至关重要。

API风险#10：第三方API的隐性威胁

API通常与其他API交互，而开发者往往对熟悉的第三方API产生盲目信任。如果攻击者破坏了第三方API或其数据源，恶意数据可能会通过该API传递到你的系统中，进而引发安全问题。

总结

OWASP API免受攻击，为应用程序的安全运行提供坚实的基础。

原文链接: https://www.invicti.com/blog/web-security/owasp-api-security-top-10-demystified/