隨著越來越多的組織依賴 Web 應用程序和連接服務提供的自動化和規(guī)模，應用程序編程接口 (API) 安全性已變得勢在必行。僅去年一年，針對客戶 API 的獨特攻擊者就增長了 400%，這證明組織必須采取主動方法來保護這些日益有價值的服務。

但考慮到 API 技術的快速發(fā)展和威脅數(shù)量的不斷增加，了解從何處以及如何開始保護 API 可能會令人難以承受。幸運的是，像開放 Web 應用程序安全項目 (OWASP) 這樣的組織一直在努力識別企業(yè)應優(yōu)先考慮的最常見和最危險的 API 安全風險。

OWASP 前 10 名是什么？

開放 Web 應用程序安全項目 (OWASP) Top 10因其全面性和準確性而受到認可，是一份詳細列表，每一到兩年更新一次，突出顯示企業(yè)應了解的關鍵 Web 應用程序安全風險。OWASP 是一個由數(shù)萬名貢獻者組成的非營利社區(qū)，致力于通過創(chuàng)建框架、工具和教育計劃等各種措施來促進軟件安全。

隨著時間的推移，數(shù)字威脅不斷演變。因此，OWASP列表會根據(jù)API安全特定的數(shù)據(jù)趨勢及時更新，有助于開發(fā)人員和安全專業(yè)人員優(yōu)先考慮對策。最近，2023年，OWASP發(fā)布了需要警惕的10大API安全風險的更新列表。

從列表底部開始，這些是組織在 2023 年需要注意的OWASP Top 10API 安全風險以及可以采取的緩解這些風險的具體措施。

10. API 的不安全使用

當應用程序無法驗證、過濾或清理從外部 API 接收的數(shù)據(jù)時，就會發(fā)生 API 的不安全使用。這可能會導致注入攻擊或數(shù)據(jù)泄露等安全漏洞。隨著組織越來越依賴第三方 API 來提供關鍵功能，確保安全使用對于防止攻擊者利用這些集成變得更加重要。

緩解策略：

• 在處理或存儲之前驗證和清理從外部 API 接收的所有數(shù)據(jù)。這有助于確保您的應用程序中僅使用有效且安全的數(shù)據(jù)。
• 使用允許列表和嚴格的數(shù)據(jù)類型限制實施輸入驗證，以防止您的應用程序處理潛在有害的數(shù)據(jù)。
• 使用安全的 API 網關來過濾和監(jiān)控傳入的 API 請求，從而針對針對您的 API 的惡意流量添加一層保護。

9、庫存管理不當

庫存管理不當與組織使用的 API 缺乏足夠的控制有關。這可能會導致未經授權的訪問和增加攻擊面，從而將敏感數(shù)據(jù)暴露給惡意方。隨著組織使用的 API 數(shù)量不斷增加，跟蹤其功能、端點和可訪問性指令以維護對 API 生態(tài)系統(tǒng)的整體保護至關重要。

緩解策略：

• 維護組織內所有 API 的最新清單，包括其用途、端點和訪問控制。這可以幫助您識別潛在的安全漏洞并確保所有 API 都得到充分保護。
• 定期審查和更新 API 文檔，以確保其準確反映 API 的當前狀態(tài)。清晰準確的文檔對于開發(fā)人員和安全專業(yè)人員有效理解和保護 API 至關重要。
• 停用未使用或已棄用的 API，以最大程度地減少攻擊面。刪除不必要的 API 可以降低攻擊者發(fā)現(xiàn)和利用易受攻擊端點的可能性。

8. 安全配置錯誤

當 API 未安全配置時，就會發(fā)生安全配置錯誤，從而使其面臨各種安全風險。安全配置錯誤的示例包括使用默認憑據(jù)、未能關閉不必要的功能或忽略及時應用安全補丁。

緩解策略：

• 在開發(fā)的早期階段使用安全配置設置您的 API。
• 定期審查和更新 API 配置，以確保它們持續(xù)應用最佳安全實踐。
• 使用自動化工具通過持續(xù)監(jiān)控來檢測和修復安全配置錯誤。

7. 服務器端請求偽造（SSRF）

服務器端請求偽造 (SSRF) 是一個漏洞，允許攻擊者操縱服務器端請求，可能導致未經授權訪問內部資源或遠程執(zhí)行代碼。這可能會導致敏感數(shù)據(jù)暴露、關鍵系統(tǒng)中斷甚至整個系統(tǒng)受損。

緩解策略：

• 驗證和清理服務器端請求中使用的用戶提供的輸入。這有助于確保您的應用程序僅處理合法請求，并降低 SSRF 攻擊的風險。
• 限制 API 可以訪問的請求類型和資源。實施嚴格的訪問控制有助于防止未經授權的操作并限制 SSRF 攻擊的潛在影響。
• 實施網絡分段和防火墻規(guī)則以限制對內部系統(tǒng)的訪問。您可以通過將敏感資源與面向公眾的 API 隔離來降低 SSRF 攻擊成功的可能性。

6. 不受限制地訪問敏感業(yè)務流程

當 API 未能實施適當?shù)脑L問控制時，就會出現(xiàn)對敏感業(yè)務流的不受限制的訪問，從而允許未經授權的用戶執(zhí)行敏感操作或訪問機密數(shù)據(jù)。

緩解策略：

• 為所有 API 端點實施強大的身份驗證和授權機制。
• 應用最小權限原則，授予用戶執(zhí)行任務所需的最低權限。
• 定期審核和監(jiān)控API訪問日志，以檢測和響應潛在的安全事件。

5. 功能級別授權被破壞

功能級授權損壞本質上是指由于不安全的直接對象引用 (IDOR) 問題，普通用戶可以執(zhí)行應為管理員保留的任務的情況。當用戶的分級權限系統(tǒng)不完整或出現(xiàn)故障時，就會發(fā)生這種情況。

緩解策略：

• 對所有 API 端點實施嚴格的授權檢查。
• 使用基于角色的訪問控制 (RBAC) 來管理用戶權限。
• 定期審查和更新訪問控制策略。

4. 資源消耗不受限制

當攻擊者利用 API 漏洞消耗過多的系統(tǒng)資源（例如內存、CPU 或網絡帶寬）時，就會發(fā)生無限制的資源消耗或拒絕服務 (DoS) 攻擊。這可能會導致受影響的服務降級或完全不可用。

緩解策略：

• 監(jiān)視和限制資源使用。
• 實施速率限制以控制來自客戶端的請求數(shù)量。
• 使用緩存來減少后端系統(tǒng)的負載。

3.破壞對象屬性級別授權

損壞的對象屬性級別授權是一種安全風險，當攻擊者可以訪問或修改他們不應訪問的對象的屬性時，就會發(fā)生這種安全風險。如果 API 在授予對象屬性訪問權限之前未正確驗證用戶權限，則可能會發(fā)生這種情況。

緩解策略：

• 對所有對象屬性實施適當?shù)脑L問控制檢查。
• 在授予對對象屬性的訪問權限之前驗證用戶權限。
• 使用基于屬性的訪問控制 (ABAC) 定義精細的訪問規(guī)則。

2. 認證失效

當身份驗證協(xié)議不夠強大或執(zhí)行不正確時，就會出現(xiàn)安全問題。這為攻擊者在未被發(fā)現(xiàn)的情況下破壞 API 敞開了大門。身份驗證弱點可以通過多種方式表現(xiàn)出來，包括但不限于不良的密碼創(chuàng)建最佳實踐、受損的密碼存儲系統(tǒng)以及基于令牌的身份驗證框架中的漏洞。

緩解策略：

• 實施強密碼策略。
• 使用安全密碼存儲方法，例如 bcrypt 或 Argon2。
• 盡可能實施多重身份驗證 (MFA)。

1. 對象級授權被破壞

由于驗證數(shù)據(jù)對象訪問的授權控制存在缺陷，當用戶可以訪問其他用戶的數(shù)據(jù)時，就會出現(xiàn)對象級授權損壞 (BOLA) 漏洞。BOLA 漏洞通常是由不安全的編碼實踐引起的，例如在授予對象訪問權限之前未能正確驗證用戶輸入或檢查權限。當 API 使用過于寬松的訪問控制或 API 資源沒有得到充分保護時，就會發(fā)生這種情況。

緩解策略：

• 采用隨機、通用唯一標識符 (UUID)。
• 建立強大的授權協(xié)議。
• 采用零信任安全框架。

確保API 安全

確保 API 的安全需要采用整體方法，涵蓋從身份驗證和授權到訪問控制和資源管理的所有內容。通過采取必要的步驟來確保API 并采用最佳安全實踐，可以保護應用程序和數(shù)據(jù)免受潛在攻擊，同時受益于強大的 API 驅動架構的優(yōu)勢。