歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
OWASP發布 2023版十大 API 安全風險
2023 / 06 / 12
編輯部
Open Worldwide Application Security Project (OWASP) 是一個開放的社群,以非營利模式營運,致力於改善軟體安全。OWASP日前正式發佈了2023版的十大API安全風險,第一版的 OWASP API 安全風險於 2019年發布。今年的版本與2019年版有多項相似,但也進行了一些重新定義與排名。
API1:2023 - Broken Object Level Authorization 不安全的物件授權
與19年版相同,不安全授權的ObjectAPI維持第一大風險。API 多半以公開方式處理物件識別,因此產生與物件存取控制相關的大範圍受攻擊面。OWASP建議物件授權應考慮在每項功能設計中,以防未授權的資訊洩露、資料被竄改或破壞。
API2:2023 - Broken Authentication 無效身分認證
身分認證在API中是另一個相對複雜且混亂的機制。身份驗證機制若實施不當,能使攻擊者破壞或利用身份驗證權杖,暫時或永久地冒用其他用戶的身份。破壞系統識別用戶端/使用者的能力,會損害 API整體安全。
API3:2023 - Broken Object Property Level Authorization 物件屬性級別授權失效
在23年版本中,這個風險結合了19年的API3:2019 Excessive Data Exposure(資料暴露不當)和API6:2019 - Mass Assignment (批量配置不當)。因為這兩個風險的根本原因都是物件屬性級別的授權驗證缺失或不當,他可以確保用戶只能存取對應權限的資源或資料。失效的話,會導致資訊外洩或被未授權者篡改。
API4:2023 - Unrestricted Resource Consumption 不受限的資源消耗
API常設計用來供查詢回傳資料,因此API會請求需要的網路頻寬、CPU、記憶體和儲存等資源。其他資源,如電子郵件/SMS/電話或生物識別驗證,利用API整合由服務提供者提供,並按請求付費。成功的攻擊者可能利用這項風險,造成導致拒絕服務或增加營運成本。
API5:2023 - Broken Function Level Authorization 無效功能權限控管
複雜的存取控制策略涉及不同的層級、組態和角色,並且在管理和常規功能之間沒有明確的分離,往往會導致授權漏洞。攻擊者將API請求發送到他們不應該存取,但暴露給匿名使用者或沒有權限的一般使用者的端點。利用這些問題,攻擊者可以存取其他用戶的資源和/或管理功能。
API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限存取敏感商務流程
易受此風險影響的API可能是自動化流程過度使用的功能,容易發生在購買票卷(車票、門票類)或評論的相關功能。這不一定是程式端的缺陷。
API7:2023 - Server Side Request Forgery 伺服器端請求偽造
當API在未驗證使用者提供的 URI 的情況下獲取遠端資源時,可能會出現伺服器端請求偽造 (SSRF) 缺陷。這使攻擊者能夠強制應用程式將精心設計的請求發送到意想不到的目的地,即使受到防火牆或 VPN 的保護。
API8:2023 - Security Misconfiguration 安全組態錯誤
API和支援系統通常包含複雜的配置,主要讓API更具彈性及客製化。軟體和DevOps工程師可能會忽視這些配置,或在配置方面未遵循安全最佳實踐,因而打開攻擊大門。
API9:2023 - Improper Inventory Management 庫存管理不當
API通常比傳統Web應用程式暴露更多的端點,因此正確和更新文檔非常重要。對主機和API版本進行適當的管理也很重要,以減少如廢棄的API版本和暴露的測試端點等維護問題。
整合
API10:2023 - Unsafe Consumption of APIs API的不安全使用
開發人員一般會更信任來自協力廠商API的資料,因此對協力廠商採取較弱的安全標準。為了破壞API,攻擊者會攻擊協力廠商服務,而不是直接嘗試破壞目標API。
本文節錄自OWASP 官網。
API安全
身分認證
供應鏈安全
安全組態
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.18
Wazuh All-in-one Security Platform 一體化安全平台網路研討會
2024.10.18
超智動化引領企業數位革命,AI賦能助力績效倍增
2024.10.24
企業網路不卡、IT不煩!現代企業網路的必修課
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
超過18000個API 金鑰外洩! 影響多個主流網站使用之令牌
美國CISA:駭客使用「簡易手法」攻擊工控系統
JPCERT分享Windows事件檢視器技巧有助發現勒索軟體攻擊
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
資安人科技網
文章推薦
Microsoft 推出 2024 年 10 月 Patch Tuesday 每月例行更新修補包
美國最大供水公司遭網路攻擊,部分系統被迫關閉
自動油箱量測系統存在重大安全漏洞,加油站恐面臨遠端攻擊風險