OWASP API Security Top 10
Что такое OWASP API Security Top 10?
OWASP API Security Top 10Образовательный документ OWASP, ранжирующий наиболее критичные риски безопасности веб-API в дополнение к общему OWASP Top 10 для веб-приложений.
OWASP API Security Top 10 — поддерживаемый сообществом список наиболее критичных рисков, характерных для веб-API (REST, GraphQL, gRPC и др.). Издание 2023 года фокусируется на Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, неограниченном потреблении ресурсов, Broken Function Level Authorization, неограниченном доступе к чувствительным бизнес-процессам, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management и небезопасном потреблении сторонних API. Документ используется API-шлюзами, при скоупинге пентестов, в обучении разработчиков и регуляторами, поскольку классический Top 10 для веб-приложений плохо покрывает эти темы.
● Примеры
- 01
Злоумышленник эксплуатирует API1:2023 BOLA, меняя /orders/123 на /orders/124 и читая заказ другого клиента.
- 02
Security-обзор сопоставляет находки API-шлюза с ID OWASP API Top 10 для отчётности руководству.
● Частые вопросы
Что такое OWASP API Security Top 10?
Образовательный документ OWASP, ранжирующий наиболее критичные риски безопасности веб-API в дополнение к общему OWASP Top 10 для веб-приложений. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP API Security Top 10?
Образовательный документ OWASP, ранжирующий наиболее критичные риски безопасности веб-API в дополнение к общему OWASP Top 10 для веб-приложений.
Как работает OWASP API Security Top 10?
OWASP API Security Top 10 — поддерживаемый сообществом список наиболее критичных рисков, характерных для веб-API (REST, GraphQL, gRPC и др.). Издание 2023 года фокусируется на Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, неограниченном потреблении ресурсов, Broken Function Level Authorization, неограниченном доступе к чувствительным бизнес-процессам, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management и небезопасном потреблении сторонних API. Документ используется API-шлюзами, при скоупинге пентестов, в обучении разработчиков и регуляторами, поскольку классический Top 10 для веб-приложений плохо покрывает эти темы.
Как защититься от OWASP API Security Top 10?
Защита от OWASP API Security Top 10 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP API Security Top 10?
Распространённые альтернативные названия: OWASP API Top 10.
● Связанные термины
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
- vulnerabilities№ 125
Нарушенный контроль доступа
Класс уязвимостей, при которых правила авторизации отсутствуют или применяются неверно, давая пользователям выполнять действия или получать данные сверх их прав.
- appsec№ 052
Безопасность API
Дисциплина проектирования, разработки и эксплуатации API так, чтобы аутентификация, авторизация, выдача данных и устойчивость к злоупотреблениям выдерживали атаки.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
● См. также
- № 779OWASP Mobile Top 10