OWASP API 安全 Top 10有了新變化，這對我們意味著什么？

2024-01-05 15:56:10

面對無處不在的安全威脅，就讓 Akamai 安全解決方案為你豎起“防護盾牌”！

開放全球應用程序安全項目（OWASP）最近發布了自 2019 年以來其 API 安全 Top 10 文檔的第一個更新版本的候選版本（草案）。讓我們回顧一下在該草案中提議的更改，看看哪些關鍵因素正在影響當今的 API 漏洞，以便您可以更好地了解保護 API 的旅程。

面對無處不在的安全威脅，就讓 Akamai 安全解決方案為你豎起“防護盾牌”！

延伸閱讀，了解Akamai安全解決方案

隨時隨地，幫助您捕捉每一個安全風險！

OWASP 是一個非政府組織，它根據社區反饋和專家評估創建安全意識文檔，描述當今組織中最常見的漏洞類型。

OWASP Top 10 于 2003 年首次發布，并定期更新。 TOP 10 名的受眾范圍從開發人員到安全分析師再到 CISO。有些人專注于文檔的更多技術方面，有些人使用它來確保他們購買的產品具有正確的覆蓋范圍。

除了 Web 應用程序安全 Top 10 之外，OWASP 還發布了一份單獨的 API Top 10 文檔，以強調 API 安全需要一種獨特的方法。 OWASP API 安全項目“專注于理解和減輕應用程序編程接口 (API) 的獨特漏洞和安全風險的策略和解決方案。”

API Top 10 自 2019 年以來沒有更新過。從那時起，各行業對 API 的依賴變得更加普遍，70% 的開發人員今年預計將增加 API 的使用。

OWASP API 安全 Top 10 候選發布版本的最新更新現已推出。讓我們回顧一下今天的 API 漏洞格局有何不同（圖 1）。

圖 1：2019 年以來 OWASP API Top 10 的變化

API3:2023 BOPLA 與 API1:2023 BOLA 有什么不同

批量分配和過度數據泄露現在合并到損壞對象屬性級別授權（BOPLA）中。失效的對象級授權（BOLA）和 BOPLA 之間的區別在于，BOLA 引用整個對象，而 BOPLA 引用對象內部的屬性（圖 2）。

圖 2：BOPLA 指的是對象內部的屬性

在新的定義中要求防御者更深入地研究對象，這增加了檢測攻擊所需的復雜性和業務邏輯理解水平。

被 BOLA 涵蓋并不意味著您也被 BOPLA所涵蓋，將批量分配和過度數據暴露合并到一個類別中強調了對象中屬性所需的注意。

對于選擇 API 安全產品的 CISO 來說，這種區別非常重要，因為他們需要確保產品涵蓋這兩種攻擊。

API6：2023 服務器端請求偽造已加入，API8：2019 注入已退出

OWASP 社區放棄了注入的嚴重性并添加了服務器端請求偽造 (SSRF)。這是一個大膽的舉措，它表明托管安全服務提供商的格局正在發生變化，以及人們對安全產品開箱即用地解決威脅的期望正在發生變化。此更改還允許在TOP 10中提供另一個攻擊媒介的詳細信息。

以下是 OWASP 社區選擇進行此更改的一些建議原因：

API8:2023 缺乏對自動威脅的保護是TOP 10 中的新內容

OWASP 建議，隨著時間的推移，限速防御措施的有效性會降低，除了實施缺陷或任何其他漏洞外，機器人程序可以通過按預期使用 API 以自動化方式對公司造成傷害。詳情參考OWASP 對 Web 應用程序的自動化威脅，它沒有提供針對 API 的獨特視角，但采用了通用方法。

以下是您需要了解的有關此補充的信息：

API10:2023 API 的不安全使用也是TOP 10 中的新增內容

由于-aaS 類產品的迅速發展，API 往往需要與不同的內部和外部（第三方）服務進行集成和通信，發送數據和接收數據。在這些情況下遵循“基本”安全規則也很重要，安全產品在這個領域檢測/主動防御可能會很復雜。

OWASP 在其文檔中包含了一系列建議，包括一般建議和特定于 API 的建議，例如：

新的 OWASP API 安全 Top 10發布候選版本是朝著 API 特定方向邁出的重要一步，它與以應用程序為中心的 Top 10 有所不同，并強調了 API 威脅的獨特性。

需要記住的一些要點包括：

Akamai 跟蹤 API 的使用情況和 API 流量，作為其互聯網狀況 (SOTI) 報告的一部分。您可以閱讀以前的 SOTI 報告以了解更多信息，并查看每個季度的新 SOTI 報告。

責任編輯：張燕妮