解读OWASP API安全十大要点 | CSA

随着Web应用安全项目）发布的API安全十大要点，旨在帮助企业识别和缓解API特有的漏洞与安全风险。本文将逐一解读这些关键点，帮助读者更好地理解API安全的核心问题。

对象级授权已损坏

API通常允许访问包含敏感信息的对象，例如员工或客户的社会保障号码、信用卡号码等。这种访问是通过API请求中的对象标识符来控制的。如果未正确实现对象级授权，攻击者可能操纵标识符，从而未经授权访问敏感数据。因此，安全措施应重点监控API调用，识别潜在的滥用行为。

用户身份验证失败

授权访问的API调用。

过度数据暴露

开发人员有时会设计过于通用的API，返回比实际需要更多的数据。攻击者可能利用这些冗余数据（如增量ID号）进一步提取敏感信息。例如，亚马逊的Ring Neighbors应用曾因这一漏洞暴露用户的精确位置。为避免此类问题，安全团队应与DevOps协作，对处理敏感数据的API进行分类和监控，防止数据被滥用。

资源不足和速率限制问题

未正确实现速率限制的API容易受到暴力攻击的威胁。例如，攻击者可能在短时间内尝试大量密码，突破服务的身份验证。针对这一漏洞，安全措施应监控API调用的频率、资源请求数量以及响应情况。

功能级别授权中断

API的功能通常包括添加、更新或删除用户记录等操作，这些功能需要根据用户的授权、角色和权限范围进行控制。如果授权机制未正确实施，攻击者可能执行未经授权的操作，导致数据丢失或账户被接管。为此，安全策略应通过行为建模检测异常操作。

批量分配漏洞

如果API直接将输入请求分配到业务逻辑数据存储中，可能会受到批量分配攻击。攻击者可以通过添加参数和值，修改关键数据属性，进而实现权限提升等攻击。安全措施应通过行为建模识别和阻止异常行为。

安全配置错误

API资源、传输协议和应用程序基础设施中的配置错误可能导致严重的安全风险。例如，未启用身份验证的API或使用不安全的通信协议（如HTTP）可能导致敏感数据泄露或账户被接管。安全团队应监控敏感数据，并通过行为建模检测异常。此外，DevOps团队应在开发阶段提前考虑安全问题。

注入攻击

API通常会处理URL和参数中的数据，但如果未对输入数据进行有效验证，可能会遭受注入攻击。攻击者可以利用SQL、NoSQL或操作系统命令注入，导致数据泄露、数据损坏或服务中断。安全策略应重点监控输入数据，防止未经授权的操作。

资产管理不当

随着企业加速将API部署到生产环境，不当的资产管理可能引发安全问题。例如，旧版本API的兼容性问题或敏感数据处理不符合治理政策，可能导致数据泄露或生态系统受损。安全团队应对敏感数据相关的API进行分类和持续监控。

日志记录和监控不足

缺乏充分的日志记录和监控能力，可能导致API威胁长期未被发现。攻击者可以在不被察觉的情况下进行侦察和利用。为此，企业应加强日志记录和监控机制，及时发现并响应潜在威胁。

通过理解和实施OWASP API安全十大要点，企业可以有效降低API相关的安全风险。安全团队应与DevOps密切协作，持续改进API的安全性，确保应用程序和数据的完整性。

原文链接: https://cloudsecurityalliance.org/blog/2021/05/11/understanding-the-owasp-api-security-top-10