OWASP TOP 10：API在最新优先事项列表中占据核心位置

APIs在应用安全中的重要性

API（应用程序编程接口）从根本上改变了现代应用程序的架构方式，以及信息在用户之间的流动方式。它们不仅加速了开发进程，使应用程序更加动态化，同时也带来了全新的安全挑战和潜在的攻击途径。现代应用程序通常依赖于多个API，这些API可能暴露出传统Web应用程序中未曾显现的功能。此外，传统的Web应用防火墙（WAF）通常只能监控应用程序的进出流量，对于API带来的新攻击面却难以察觉。

API虽然与传统应用程序存在许多相同的安全弱点，但也引入了一些全新的问题，需要从根本上重新审视。不幸的是，传统的WAF无法有效应对API的独特安全挑战，而API网关也缺乏检测和阻止威胁的能力。这导致应用程序的攻击面变得更加广泛且易于被利用。Gartner曾预测，到2022年，API将成为Web应用程序漏洞的最常见攻击向量，这一趋势已逐渐成为现实。

API安全进入OWASP前10名

随着API在现代应用中的重要性日益增加，API安全问题也逐渐受到与传统应用安全问题同等的重视。OWASP发布的API安全前10名清单正是这一趋势的体现。

通过对比可以发现，API安全前10名与传统OWASP前10名有许多相似之处。在API前10名的10个类别中，有6个类别与传统前10名完全一致或高度相似。这并不令人意外，因为API是现代应用程序的延伸，而不是完全重新设计的产物。以下表格展示了API前10名与2017年OWASP前10名的并列比较：

尽管存在这些相似性，AppSec团队仍需警惕。API可能会带来新的复杂性和挑战，即使是传统的安全风险，在API环境中也可能呈现出不同的表现形式。例如，“注入攻击”在两个列表中均有体现（OWASP前10名排名第1，API前10名排名第8），但许多组织在保护传统Web前端时可能已经有效阻止了注入攻击，而这些防护措施却未能覆盖到API。

传统的WAF工具通常无法识别通过API发起的攻击。API为后端应用程序提供了多种新的访问路径，这些路径可能包括模块之间或微服务之间的内部连接，而传统WAF对此无能为力。此外，某些特定于API的协议（如JSON和WebSockets）可能会掩盖攻击行为。如果没有对流量的全面可见性以及对相关协议的解码能力，组织很容易忽略API面临的威胁，而这些威胁在传统Web应用程序中可能更容易被检测到。

API前10名与OWASP前10名的相似之处

以下是API前10名中与传统OWASP前10名高度相似的类别：

• API2：用户身份验证失败
• API3：过度数据暴露
• API5：功能级别授权中断
• API7：安全配置错误
  • 示例：审查和更新API堆栈中的配置，包括编排文件、API组件和云服务（如S3存储桶权限）。确保所有API交互使用安全通信通道，并通过自动化流程持续评估配置的有效性。
• API8：注入
• API10：记录和监控不足

这些类别表明，尽管API扩展了应用程序的功能，但许多传统的安全问题依然存在。

API前10名中的新类别

除了与传统OWASP前10名相似的类别外，API前10名还引入了一些全新的安全问题：

• API1：对象级授权中断
• API4：资源不足和速率限制
• API6：批量分配
• API9：资产管理不当

这些新类别反映了API特有的安全挑战，例如资源管理、批量操作和资产可见性等问题。

总结

本文简要介绍了OWASP API前10名的关键点，以及它与传统OWASP前10名的相似性和差异性。虽然这些内容为常见的API安全问题提供了基本的指导，但在实施全面的API安全计划时，仍需关注更多细节和注意事项。

为了应对这些挑战，组织需要采用专门针对API的安全解决方案。例如，ThreatX平台通过行为分析、主动攻击者参与和欺骗技术的结合，能够检测已知和未知的攻击。这种方法可以帮助组织在传统Web前端、API、本地部署或云环境中有效保护其应用程序，抵御各种威胁（包括传统攻击、机器人程序、定向攻击和DDoS等）。

原文链接: https://www.threatx.com/blog/owasp-top-10-apis-take-center-stage-in-latest-list-of-priorities/