解读2023年OWASP API十大安全风险

首先，让我们了解一下报告背后的组织：OWASP。

什么是OWASP？

开放应用程序安全相关课程，或者听过相关讨论，那么你很可能对这个名字并不陌生。

OWASP成立于2001年，采用开放社区模式运作。安全专家、开发人员和技术人员共同协作，创建了大量关于应用程序安全的资源。这些资源涵盖了文章、方法、文档、工具和技术，主要聚焦于Web应用程序的安全性。

尽管OWASP以其广泛适用的Top 10报告而闻名，但OWASP Top 10 API安全风险报告则专注于Web应用程序安全领域的丰富经验，深入探讨了与应用程序编程接口（API）相关的独特挑战和风险。

什么是OWASP API十大安全风险？

OWASP API十大安全风险报告旨在确定并排名API开发人员当前面临的十大最关键安全风险。这份报告通过全行业调查、专家意见和社区反馈制定，全面概述了API的关键漏洞，并提供了每个漏洞的缓解策略和真实案例。

历史背景

第一版OWASP API十大安全风险报告发布于2019年。这一版本标志着对API独特安全挑战的关注发生了重大转变。随着现代软件开发中API的使用迅速增加，与之相关的安全漏洞也显著增加。

在2023年6月，OWASP发布了对其API安全十大名单的首次重大更新。这次更新基于过去四年的数据和反馈，反映了API安全威胁的演变趋势以及最新的行业实践。

2019年与2023年报告的变化

2019年和2023年OWASP API十大安全风险报告之间的变化，反映了API安全威胁和行业实践的演变趋势。以下是一些关键变化：

保持不变的风险

以下五个风险在两版报告中保持不变：

• 对象级授权中断
• 身份验证失败
• 功能级别授权中断
• 安全配置错误
• 资产管理不当

更新或新增的风险

1. 破碎对象属性级授权

2023年报告将2019年的“过度数据暴露”和“大规模分配”合并为“破碎对象属性级授权”。这一变化反映了细粒度数据泄露问题。

2. 不受限制的资源消耗

2019年的“缺乏资源限制”被重新命名为“不受限制的资源消耗”，强调了限制API请求以防止资源耗尽的重要性。

3. 服务器端请求伪造（SSRF）

SSRF在2023年被列为新的风险类别，取代了“大规模分配”。这一更新反映了对API被诱骗向内部系统发送恶意请求的攻击的日益关注。

4. 缺乏对自动化威胁的保护

2023年报告新增了“缺乏对自动化威胁的保护”，取代了2019年的“注入”。这一变化强调了保护API免受机器人程序和脚本攻击的重要性。

5. APIs的不安全消费

2023年报告新增了“APIs的不安全消费”，取代了2019年的“日志记录和监控不足”。这一更新强调了验证第三方API数据的重要性。

OWASP API十大安全风险的构建方法

OWASP通过综合方法构建其API安全风险列表，结合了多种数据来源，包括漏洞报告、供应商数据、漏洞赏金计划以及开源贡献。其独立性和非营利性质确保了报告的公正性和可靠性。

2023年OWASP API十大安全风险详解

以下是2023年报告中列出的十大风险及其简要说明：

1. 对象级授权中断

当API未正确检查对象标识符的授权时，可能导致未经授权的访问。例如，用户通过修改URL中的ID访问他人数据。解决方法包括在所有API端点实施一致的对象级授权检查。

2. 身份验证失败

身份验证机制的缺陷可能导致攻击者冒充合法用户。解决方法包括使用多因素身份验证和定期更新身份验证机制。

3. 破碎对象属性级授权

对象属性级别的授权检查不足可能导致数据泄露或操纵。解决方法是实施细粒度的访问控制。

4. 不受限制的资源消耗

攻击者通过发送大量复杂请求耗尽服务器资源，可能导致拒绝服务。解决方法包括实施速率限制和资源管理。

5. 功能级别授权中断

功能级访问控制的缺陷可能导致普通用户访问管理功能。解决方法是明确用户角色的分离并实施强大的访问控制策略。

6. 服务器端请求伪造（SSRF）

攻击者诱骗API向内部系统发送恶意请求。解决方法是验证和净化所有用户提供的URI。

7. 安全配置错误

不安全的默认配置或错误的HTTP标头可能导致数据泄露。解决方法是定期检查和更新配置。

8. 库存管理不当

未维护准确的API清单的全面性和最新性。

9. APIs的不安全消费

未验证第三方API数据可能导致安全漏洞。解决方法是对所有接收的数据进行严格验证。

关键建议

OWASP报告强调了以下几点：

• 主动防御：在项目生命周期的早期集成安全性，并进行定期测试。
• 减少数据暴露：简化系统设计，避免冗长的配置。
• 教育与培训：提高开发人员对API安全的意识。

通过遵循这些建议，开发人员可以有效降低API安全风险。

总结

OWASP API十大安全风险报告为开发人员提供了API的安全性至关重要，开发人员应将其视为优先事项。

原文链接: https://www.stackhawk.com/blog/understanding-the-2023-owasp-top-10-api-security-risks/