OWASP發布 2023版十大 API 安全風險

Open Worldwide Application Security Project (OWASP) 是一個開放的社群，以非營利模式營運，致力於改善軟體安全。OWASP日前正式發佈了2023版的十大API安全風險，第一版的 OWASP API 安全風險於 2019年發布。今年的版本與2019年版有多項相似，但也進行了一些重新定義與排名。

API1:2023 - Broken Object Level Authorization 不安全的物件授權
與19年版相同，不安全授權的ObjectAPI維持第一大風險。API 多半以公開方式處理物件識別，因此產生與物件存取控制相關的大範圍受攻擊面。OWASP建議物件授權應考慮在每項功能設計中，以防未授權的資訊洩露、資料被竄改或破壞。

API2:2023 - Broken Authentication 無效身分認證
身分認證在API中是另一個相對複雜且混亂的機制。身份驗證機制若實施不當，能使攻擊者破壞或利用身份驗證權杖，暫時或永久地冒用其他用戶的身份。破壞系統識別用戶端/使用者的能力，會損害 API整體安全。

API3:2023 - Broken Object Property Level Authorization 物件屬性級別授權失效
在23年版本中，這個風險結合了19年的API3:2019 Excessive Data Exposure(資料暴露不當)和API6:2019 - Mass Assignment (批量配置不當)。因為這兩個風險的根本原因都是物件屬性級別的授權驗證缺失或不當，他可以確保用戶只能存取對應權限的資源或資料。失效的話，會導致資訊外洩或被未授權者篡改。 
 
API4:2023 - Unrestricted Resource Consumption 不受限的資源消耗
API常設計用來供查詢回傳資料，因此API會請求需要的網路頻寬、CPU、記憶體和儲存等資源。其他資源，如電子郵件/SMS/電話或生物識別驗證，利用API整合由服務提供者提供，並按請求付費。成功的攻擊者可能利用這項風險，造成導致拒絕服務或增加營運成本。

API5:2023 - Broken Function Level Authorization 無效功能權限控管
複雜的存取控制策略涉及不同的層級、組態和角色，並且在管理和常規功能之間沒有明確的分離，往往會導致授權漏洞。攻擊者將API請求發送到他們不應該存取，但暴露給匿名使用者或沒有權限的一般使用者的端點。利用這些問題，攻擊者可以存取其他用戶的資源和/或管理功能。

API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限存取敏感商務流程
易受此風險影響的API可能是自動化流程過度使用的功能，容易發生在購買票卷(車票、門票類)或評論的相關功能。這不一定是程式端的缺陷。

API7:2023 - Server Side Request Forgery 伺服器端請求偽造
當API在未驗證使用者提供的 URI 的情況下獲取遠端資源時，可能會出現伺服器端請求偽造 (SSRF) 缺陷。這使攻擊者能夠強制應用程式將精心設計的請求發送到意想不到的目的地，即使受到防火牆或 VPN 的保護。

API8:2023 - Security Misconfiguration 安全組態錯誤
API和支援系統通常包含複雜的配置，主要讓API更具彈性及客製化。軟體和DevOps工程師可能會忽視這些配置，或在配置方面未遵循安全最佳實踐，因而打開攻擊大門。

API9:2023 - Improper Inventory Management 庫存管理不當
API通常比傳統Web應用程式暴露更多的端點，因此正確和更新文檔非常重要。對主機和API版本進行適當的管理也很重要，以減少如廢棄的API版本和暴露的測試端點等維護問題。
整合
 
API10:2023 - Unsafe Consumption of APIs API的不安全使用
開發人員一般會更信任來自協力廠商API的資料，因此對協力廠商採取較弱的安全標準。為了破壞API，攻擊者會攻擊協力廠商服務，而不是直接嘗試破壞目標API。

本文節錄自OWASP 官網。