OWASP API 安全 Top 10
OWASP API 安全 Top 10 是什么?
OWASP API 安全 Top 10OWASP 发布的意识文档,列出影响 Web API 的最关键安全风险,作为通用 OWASP Top 10 的补充。
OWASP API 安全 Top 10 是社区驱动的列表,聚焦 REST、GraphQL、gRPC 等 Web API 的最关键风险。2023 版关注 Broken Object Level Authorization(BOLA)、Broken Authentication、Broken Object Property Level Authorization、Unrestricted Resource Consumption、Broken Function Level Authorization、敏感业务流的无限访问、SSRF、安全配置错误、库存管理不当以及对外部 API 的不安全消费。它被 API 安全网关、渗透测试范围、开发者培训和监管机构广泛使用,因为这些问题在传统 Web 应用 Top 10 中覆盖不足。
● 示例
- 01
攻击者通过将 /orders/123 改为 /orders/124 利用 API1:2023 BOLA,读取另一客户的订单。
- 02
安全评审把 API 网关的发现映射到 OWASP API Top 10 编号以供管理层汇报。
● 常见问题
OWASP API 安全 Top 10 是什么?
OWASP 发布的意识文档,列出影响 Web API 的最关键安全风险,作为通用 OWASP Top 10 的补充。 它属于网络安全的 合规与框架 分类。
OWASP API 安全 Top 10 是什么意思?
OWASP 发布的意识文档,列出影响 Web API 的最关键安全风险,作为通用 OWASP Top 10 的补充。
OWASP API 安全 Top 10 是如何工作的?
OWASP API 安全 Top 10 是社区驱动的列表,聚焦 REST、GraphQL、gRPC 等 Web API 的最关键风险。2023 版关注 Broken Object Level Authorization(BOLA)、Broken Authentication、Broken Object Property Level Authorization、Unrestricted Resource Consumption、Broken Function Level Authorization、敏感业务流的无限访问、SSRF、安全配置错误、库存管理不当以及对外部 API 的不安全消费。它被 API 安全网关、渗透测试范围、开发者培训和监管机构广泛使用,因为这些问题在传统 Web 应用 Top 10 中覆盖不足。
如何防御 OWASP API 安全 Top 10?
针对 OWASP API 安全 Top 10 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP API 安全 Top 10 还有哪些其他名称?
常见的别称包括: OWASP API Top 10。
● 相关术语
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- vulnerabilities№ 125
访问控制失效
授权规则缺失或执行不当,使用户能够执行超出其权限的操作或访问越权数据的一类漏洞。
- appsec№ 052
API 安全
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
● 参见
- № 779OWASP 移动 Top 10