OWASP API 安全十大风险 2023 版已发布

OWASP API 安全十大风险 2023 版已发布

2023年7月3日，OWASP API 安全项目团队正式发布了最新版本的 OWASP API 安全十大风险列表。这一更新标志着自 2019 年首次发布以来，API 安全领域的重大进展和变化。

过去四年中，API 安全领域经历了快速发展和复杂化。此次更新旨在反映最新的安全趋势，并整合来自不同行业安全专家的宝贵意见，为开发者和安全从业者提供更易获取的指导和信息。这份名单的发布离不开 OWASP 社区和项目贡献者的共同努力。

2023 年 OWASP API 安全十大风险中的新趋势

以下是 2023 年版本中值得关注的三个新趋势：

1. 授权问题仍是 API 安全的核心挑战

在最新的十大风险中，前五项中有三项与授权（访问控制）问题直接相关。随着现代基于 API 的应用程序日益复杂，API 端点数量激增，参数组合变得更加多样化，授权问题的风险也随之增加。特别是在引入用户层次结构后，这种复杂性可能导致不可预测的行为，不仅威胁系统安全，还可能对组织声誉造成严重影响。

2. 新增“不受限制地访问敏感业务流”风险

本次更新新增了“不受限制地访问敏感业务流”这一风险类别，以应对黄牛党活动和虚假账户创建等新兴威胁。这一趋势强调了在开发新应用程序时，安全规划和设计的重要性。由于 API 的开放性使得机器人能够轻松访问，开发者需要识别敏感业务流并采取适当的保护措施，以降低潜在风险。

3. 服务器端请求伪造（SSRF）风险上升

服务器端请求伪造（SSRF）被正式列入 2023 年的十大风险中。尽管 SSRF 并非新型漏洞，但其在基于 API 的应用程序中变得更加普遍且危害更大。例如，网络钩子的广泛使用使得黑客更容易利用 SSRF 漏洞。此外，云计算、Kubernetes（K8S）和 Docker 的管理/控制 REST API 的普及也为攻击者提供了更多的潜在目标。

总结

OWASP API 安全十大风险 2023 版的发布为开发者和安全从业者提供了最新的安全指导。这份更新不仅反映了行业的最新趋势，还为应对日益复杂的 API 安全挑战提供了切实可行的建议。通过深入理解这些风险并采取相应的防护措施，组织可以更有效地保护其 API 生态系统的安全。

原文链接: https://owasp.org/blog/2023/07/03/owasp-api-top10-2023