OWASP API Security TOP 10中文项目 2023
OWASP API Security TOP 10中文项目 2023
背景
2023 版是《OWASP API 安全 Top 10》项目发布的第二版。第二版的发布距离第一版发布整整 四年。这四年来,API(安全)场景发生了很大变化。API 流量快速增长,一些 API 协议获得了更大 的吸引力,许多新的 API 安全供应商 / 解决方案涌现出来。随之而来的,攻击者也开发了新的技能 和技术来破坏 API。更新 API 安全 TOP10 清单的时机已经成熟。 随着 API 安全产业的成熟,首次出现了公开的数据召集。虽然没有收集到任何数据,但基于项 目团队的经验、API 安全专家的仔细审查以及社区对候选版本的反馈,我们创建了这个新列表。
《OWASP API 安全 Top 10 2023》是一份针对快速发展 API 行业的前瞻性意识宣传文件。需要 注意的是,它不能取代其他 Top 10 文档。在本版本中,主要变化如下:
· 合并了“API3:2019 过度数据暴露”和“API6:2019 批量分配”,重点关注共同的根本原因: “API3:2023 对象属性级授权失效”。(合并)
· 更加重视资源消耗“2023:API4 资源消耗无限制”,而不是关注资源耗尽的速度“API4:2019 资源缺失 & 速率限制”。(更名)
· 创建了一个新类别“API6:2023 访问敏感业务流无限制”,以应对新的威胁,包括了大多数可 以通过限速来缓解的威胁。(新增)
· 添加了“2023:API10 API 的不安全使用”来解决已经开始出现的问题:攻击者已经开始寻找 目标的集成服务来破坏这些服务,而不是直接攻击目标的 API。
致谢
我们要感谢以下在 GitHub 上或通过其他方式公开贡献的贡献者: 247arjun, abunuwas, Alissa Knight, Arik Atar, aymenfurter, Corey J. Ball, cyn8, d0znpp, Dan Gordon, donge, Dor Tumarkin, faizzaidi, gavjl, guybensimhon, Inês Martins, Isabelle Mauny, Ivan Novikov, jmanico, Juan Pablo, k7jto, LaurentCB, llegaz, Maxim Zavodchik, MrPRogers, planetlevel, rahulk22, Roey Eliyahu, Roshan Piyush, securitylevelup, sudeshgadewar123, Tatsuya-hasegawa, tebbers, vanderaj, wenz, xplo1t-sec, Yaniv Balmas, ynvb
中文项目参与者: 郭秀峰、林科辰、钱君生、吴楠、肖龙、肖文棣、严文聪
中文下载:OWASP API安全十大风险
API10:2023 Unsafe Consumption of APIs - OWASP API Security Top 10
OWASP API Security TOP 10中文项目 2019
背景
在当今由应用程序驱动的世界中,创新的基本要素是应用程序编程接口(API)。从银行,零售和运输到物联网、自动驾驶汽车和智慧城市,API是现代移动、SaaS和Web应用程序的关键部分,可以在面向客户、面向合作伙伴和内部应用程序中找到。本质上,API公开了应用程序逻辑和敏感数据,例如个人身份信息(PII),因此,API越来越成为攻击者的目标。 没有安全的API,快速创新将是不可能的。
尽管更广泛的web应用程序安全风险前10名仍然有意义,但是由于它们的特殊性质,需要一个特定于API的安全风险列表。API安全关注于策略和解决方案,以理解和减轻与API相关的独特漏洞和安全风险。
介绍
欢迎来到OWASP API安全TOP10的第一版。OWASP Top 10系列,都是为了可读性和可采用性而设计的。
API在现代应用程序的体系结构中扮演着非常重要的角色。由于创建安全意识和创新的速度不同,所以重点关注常见的API安全弱点是很重要的。OWASP API 安全 Top 10的主要目标是培训那些参与API开发和维护的人员,例如开发人员、设计人员、架构师、管理人员或组织。
API1:2019 - Broken Object Level Authorization
API1:2019 -失效的对象级授权
API2:2019 - Broken User Authentication
API2:2019 -失效的用户认证
API3:2019 - Excessive Data Exposure
API3:2019 - 过度的数据暴露
API4:2019 - Lack of Resources & Rate Limiting
API4:2019 - 资源缺失 & 速率限制
API5:2019 - Broken Function Level Authorization
API5:2019 -功能级别授权已损坏
API6:2019 - Mass Assignment
API6:2019 -批量分配
API7:2019 - Security Misconfiguration
API7:2019 - 安全性错误配置
API8:2019 – Injection
API8:2019 –注入
API9:2019 - Improper Assets Management
API9:2019 -资产管理不当
API10:2019 - Insufficient Logging & Monitoring
API10:2019 -日志和监控不足
英文下载:OWASP API Security TOP 10
中文下载:OWASP API安全十大风险
中文项目组组长:肖文棣
中文项目组成员:
陈毓灵、黄鹏华、黄圣超、任博伦、张晓鲁、吴翔