2023年OWASP十大API安全风险清单.pdf

2023年OWASP十大API安全风险清单

API1：中断的对象级授权

API倾向于暴露处理对象标识符的端点，从而创造出对象级访问

控制问题的广泛攻击面。因此在使用用户ID访问数据源的每个函数

中，应当考虑执行对象级授权检查。

API2：无效的身份认证

身份验证机制通常实施不正确，允许攻击者破坏身份验证令牌或

利用实现缺陷暂时或永久假定其他用户的身份，损害系统识别客户端

/用户的能力，会损害整体API安全性。

API3：失效的对象属性级授权

此类别结合了API3:2019-过度的数据泄露和API6:2019-批量

分配，关注的根本原因是对象属性级缺乏授权验证或验证不当，从而

导致信息泄露或越权访操纵。

API4：不受限制的资源消耗

满足API请求需要网络带宽、CPU、内存和存储等资源。其它资

源如邮件/SMS/电话通话或生物特征验证由服务提供商通过API集成

提供并按照请求进行支付，如果攻击成功可导致拒绝服务后果或运营

成本上升。

API5：无效的功能级授权

具有不同层次结构、组和角色的复杂访问控制策略，以及管理功

能和常规功能之间的不明确分离，往往会导致授权缺陷。通过利用这

些问题，攻击者可以访问其他用户的资源和/或管理功能。

API6：对敏感业务流程的无限制访问

易受到此风险影响的API会暴露业务流（例如买票或发布评论），

而不会弥补如果以自动化方式过度使用，该功能如何对业务造成损害，

这一风险不一定源自实现问题。

API7：服务器端请求伪造

当API在没有验证用户所提供URI的情况下提取远程资源时，可

能就会引发服务器端请求伪造(SSRF)缺陷，这可以可使攻击者诱骗应

用程序将构造的请求发送给未预期目的地，甚至即使受到了防火墙或

VPN的保护也是如此。

API8：安全配置错误

API和支持它们的系统通常包含复杂的配置，旨在使API更具可

定制性。软件和DevOps工程师可能会错过这些配置或者在配置时不

遵循安全最佳实践，从而为不同类型的攻击打开了大门。

API9：清单管理不当

与传统的Web应用程序相比，API往往会公开更多的端点，因此

正确和更新的文档非常重要。主机和已部署API版本的适当清单对于

缓解已弃用的API版本和公开的调试终结点等问题也很重要。

API10：不安全的API消耗

开发人员偏向于信任从第三方API接收的数据而不是用户输入

的数据，因此倾向于采用较弱的安全标准。为了破坏API，攻击者会

攻击集成的第三方服务，而不是试图直接破坏目标API。