歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
OWASP發布 2023版十大 API 安全風險
2023 / 06 / 12
編輯部
Open Worldwide Application Security Project (OWASP) 是一個開放的社群,以非營利模式營運,致力於改善軟體安全。OWASP日前正式發佈了2023版的十大API安全風險,第一版的 OWASP API 安全風險於 2019年發布。今年的版本與2019年版有多項相似,但也進行了一些重新定義與排名。
API1:2023 - Broken Object Level Authorization 不安全的物件授權
與19年版相同,不安全授權的ObjectAPI維持第一大風險。API 多半以公開方式處理物件識別,因此產生與物件存取控制相關的大範圍受攻擊面。OWASP建議物件授權應考慮在每項功能設計中,以防未授權的資訊洩露、資料被竄改或破壞。
API2:2023 - Broken Authentication 無效身分認證
身分認證在API中是另一個相對複雜且混亂的機制。身份驗證機制若實施不當,能使攻擊者破壞或利用身份驗證權杖,暫時或永久地冒用其他用戶的身份。破壞系統識別用戶端/使用者的能力,會損害 API整體安全。
API3:2023 - Broken Object Property Level Authorization 物件屬性級別授權失效
在23年版本中,這個風險結合了19年的API3:2019 Excessive Data Exposure(資料暴露不當)和API6:2019 - Mass Assignment (批量配置不當)。因為這兩個風險的根本原因都是物件屬性級別的授權驗證缺失或不當,他可以確保用戶只能存取對應權限的資源或資料。失效的話,會導致資訊外洩或被未授權者篡改。
API4:2023 - Unrestricted Resource Consumption 不受限的資源消耗
API常設計用來供查詢回傳資料,因此API會請求需要的網路頻寬、CPU、記憶體和儲存等資源。其他資源,如電子郵件/SMS/電話或生物識別驗證,利用API整合由服務提供者提供,並按請求付費。成功的攻擊者可能利用這項風險,造成導致拒絕服務或增加營運成本。
API5:2023 - Broken Function Level Authorization 無效功能權限控管
複雜的存取控制策略涉及不同的層級、組態和角色,並且在管理和常規功能之間沒有明確的分離,往往會導致授權漏洞。攻擊者將API請求發送到他們不應該存取,但暴露給匿名使用者或沒有權限的一般使用者的端點。利用這些問題,攻擊者可以存取其他用戶的資源和/或管理功能。
API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限存取敏感商務流程
易受此風險影響的API可能是自動化流程過度使用的功能,容易發生在購買票卷(車票、門票類)或評論的相關功能。這不一定是程式端的缺陷。
API7:2023 - Server Side Request Forgery 伺服器端請求偽造
當API在未驗證使用者提供的 URI 的情況下獲取遠端資源時,可能會出現伺服器端請求偽造 (SSRF) 缺陷。這使攻擊者能夠強制應用程式將精心設計的請求發送到意想不到的目的地,即使受到防火牆或 VPN 的保護。
API8:2023 - Security Misconfiguration 安全組態錯誤
API和支援系統通常包含複雜的配置,主要讓API更具彈性及客製化。軟體和DevOps工程師可能會忽視這些配置,或在配置方面未遵循安全最佳實踐,因而打開攻擊大門。
API9:2023 - Improper Inventory Management 庫存管理不當
API通常比傳統Web應用程式暴露更多的端點,因此正確和更新文檔非常重要。對主機和API版本進行適當的管理也很重要,以減少如廢棄的API版本和暴露的測試端點等維護問題。
整合
API10:2023 - Unsafe Consumption of APIs API的不安全使用
開發人員一般會更信任來自協力廠商API的資料,因此對協力廠商採取較弱的安全標準。為了破壞API,攻擊者會攻擊協力廠商服務,而不是直接嘗試破壞目標API。
本文節錄自OWASP 官網。
API安全
身分認證
供應鏈安全
安全組態
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
合勤科技:停產路由器漏洞不予修補,建議用戶汰換設備
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
美國CISA 將微軟 .NET 和 Apache OFBiz 漏洞列入KEV並要求修補 Linux 內核漏洞
資安人科技網
文章推薦
鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵