什么是 OWASP API 10 大安全风险？

什么是 OWASP API 10 大安全风险？

开放式 Web 应用程序安全项目 (OWASP) 是一个非营利组织，其目标是促进 Web 应用安全。OWASP 提供了许多免费资源，以构建更安全的 Web 应用。

该组织被最广泛引用的资源之一是 OWASP Top 10，其中列出了 Web 应用的十大安全问题。OWASP 还为应用编程接口 (API) 维护了一个单独的类似清单，这对于支持大多数 Web 和移动体验至关重要。

API 可以通过提供商业智能、促进云部署和实现 AI 功能集成，为企业增强竞争优势。但与此同时，API 可能会引入新的风险，因为它允许外部各方访问应用、共享数据和运行潜在敏感的工作流程。

本 OWASP API Security Top 10 最新发布于 2023 年，强调了组织应解决的关键问题，以更好地保护其 API、应用和数据。该清单包括：

1. 对象级授权失效：攻击者可能会尝试利用易受对象级授权失效影响的 API 端点。他们可以操纵请求中的对象标识符以获得对敏感数据的未经授权访问。
2. 身份验证失效：如果身份验证实施不正确，攻击者可能冒充 API 用户并获得对机密数据的访问权限。
3. 对象属性级授权失效：对象属性级别的授权缺失或授权验证不当可能会导致信息暴露，或容易受到未经授权人员的操纵。
4. 资源消耗不受限制：许多 API 不限制客户端交互或资源消耗。攻击者可能会产生大量的 API 调用，这会增加运营成本并导致拒绝服务。
5. 功能级授权失效：攻击者可能将合法的 API 调用发送到他们本应该无法访问的端点。他们可能会获得对其他用户的资源或管理功能的访问权限。
6. 对敏感业务流的无限制访问：API 可能会暴露业务流程（例如在网站上发表评论、购买产品或进行预订），使攻击者能够过度执行该流程。
7. 服务器端请求伪造：API 可能在未验证用户提供的 URL 的情况下获取远程资源。例如，用户可以提供 URL，以将图像上传到社交媒体平台。然后该 URL 可能会在内部网络中发起端口扫描。
8. 库存管理不当：API 可能比传统 Web 应用暴露更多端点。如果组织不清点主机和已部署的 API 版本，则可能会使已弃用的 API 版本和端点容易受到攻击。
9. API 的不安全使用：攻击者可能会针对与 API 交互的第三方服务，而不是直接针对 API。他们意识到开发人员通常更信任来自第三方 API 的数据，而不是用户输入。

要进一步了解这 10 个安全风险，请参阅 OWASP 的官方网页。

OWASP Top 10 清单（点击此处获取完整清单）和 OWASP API Security Top 10 清单之间存在一些交叉。例如，访问控制失效是 OWASP Top 10 清单中的第一位，而 API 清单的前五个安全问题中也存在各种形式的身份验证和授权失效。此外，安全错误配置和服务器端请求伪造也同时出现在两个清单中。

然而，与 Web 应用相比，API 确实存在一些独特的风险。开发人员应该同时考虑这两个清单。

Cloudflare 如何帮助应对 API 安全风险？

Cloudflare API Gateway 通过 API 发现功能、集中式 API 管理和监控以及创新的分层防御，帮助确保 API 安全并正常工作。API Gateway 是 Cloudflare 应用安全产品组合的一部分，该产品组合提供了额外的功能，可在监控供应链攻击的同时阻止机器人、DDoS 攻击和应用攻击。

了解 Cloudflare 功能如何应对 OWASP API Security Top 10 中详述的特定风险，并探索 Cloudflare 的更多 API 安全解决方案。