CDN加速

常见应用安全风险: OWASP十大API安全风险

常见应用安全风险: OWASP十大API安全风险

发布时间:2024-12-31 14:13:14   来源:众盛云-高防CDN专家 关键词:十大API安全风险

常见应用安全风险: OWASP十大API安全风险

API支持不同软件之间的通信。具有API的应用程序允许外部客户端从应用程序请求服务。API面临各种威胁和漏洞。OWASP编制了一份列表,列出了API十大安全风险的优先级。

1) 对象级授权失效

API经常公开处理对象标识符的端点。它造成了更广泛的攻击面级别访问控制问题。相反,您应该检查每个可以通过用户输入访问数据源的函数中的对象级授权。

2) 用户身份验证失败

实施不正确的身份验证机制可能会授予恶意行为者未经授权的访问权限。它使攻击者能够利用实现缺陷或危害身份验证令牌。一旦发生,攻击者就可以永久或暂时地假定合法的用户身份。因此,系统识别客户端或用户的能力受到损害,这威胁到应用程序的整体API安全性。

3) 数据过度暴露

通用实现通常会导致所有对象属性的暴露,而不考虑每个对象的个体敏感性。当开发人员在向用户显示信息之前依赖客户端执行数据过滤时,就会发生这种情况。

4) 缺乏资源和利率限制

API通常不会对允许客户端或用户请求的资源数量或大小施加限制。但是,此问题可能会影响API服务器的性能,并导致拒绝服务(DoS)。此外,它可能会产生身份验证缺陷,从而导致暴力攻击。

5) 功能级别授权中断

授权漏洞使攻击者能够未经授权访问合法用户的资源或获得管理权限。它可能是由于基于不同层次结构、角色、组的过于复杂的访问控制策略以及常规和管理功能之间不明确的分离造成的。

6) 批量分配

大规模分配通常是由于客户端提供的数据(如JSON)与数据模型绑定不当造成的。当绑定发生时,不使用基于allowlist的属性过滤,就会发生这种情况。它使攻击者能够猜测对象属性、阅读文档、探索其他API端点,或提供额外的对象属性来请求有效负载。

7) 安全配置错误

安全配置错误通常是由于以下原因造成的:

a) 不安全的默认配置
b) 开放式云存储
c) 临时或不完整的配置
d) 配置错误的HTTP标头
e) 允许跨源资源共享(CORS)
f) 不必要的HTTP方法
g) 包含敏感信息的详细错误消息


8)  注射

当查询或命令向解释器发送不受信任的数据时,就会出现命令注入、SQL和NoSQL注入等注入缺陷。它通常是恶意数据,试图欺骗解释器提供未经授权的数据访问或执行意外的命令。

9) 资产管理不当

API通常比传统的web应用程序公开更多的端点。API的这种性质意味着正确和更新的文档对安全性至关重要。此外,适当的主机和部署的API版本清单可以帮助缓解与暴露的调试端点和不推荐使用的API版本相关的问题。

10) 日志记录和监控不足

日志记录和监控不足使威胁行为者能够升级他们的攻击,特别是在与事件响应无效或没有集成的情况下。它允许恶意行为者保持持久性,并转向其他系统,在那里提取、销毁或篡改数据。

猜你喜欢