OWASP API 安全 Top 10有了新變化,這對我們意味著什么?
開放全球應用程序安全項目(OWASP) 最近發布了自 2019 年以來其 API 安全 Top 10 文檔的第一個更新版本的候選版本(草案)。讓我們回顧一下在該草案中提議的更改,看看哪些關鍵因素正在影響當今的 API 漏洞,以便您可以更好地了解保護 API 的旅程。
面對無處不在的安全威脅,就讓 Akamai 安全解決方案為你豎起“防護盾牌”!
隨時隨地,幫助您捕捉每一個安全風險!
什么是 OWASP Top 10?
OWASP 是一個非政府組織,它根據社區反饋和專家評估創建安全意識文檔,描述當今組織中最常見的漏洞類型。
OWASP Top 10 于 2003 年首次發布,并定期更新。 TOP 10 名的受眾范圍從開發人員到安全分析師再到 CISO。 有些人專注于文檔的更多技術方面,有些人使用它來確保他們購買的產品具有正確的覆蓋范圍。
OWASP API Top 10
除了 Web 應用程序安全 Top 10 之外,OWASP 還發布了一份單獨的 API Top 10 文檔,以強調 API 安全需要一種獨特的方法。 OWASP API 安全項目“專注于理解和減輕應用程序編程接口 (API) 的獨特漏洞和安全風險的策略和解決方案。”
API Top 10 自 2019 年以來沒有更新過。從那時起,各行業對 API 的依賴變得更加普遍,70% 的開發人員今年預計將增加 API 的使用。
OWASP API 安全 Top 10 候選發布版本的最新更新現已推出。 讓我們回顧一下今天的 API 漏洞格局有何不同(圖 1)。
圖 1:2019 年以來 OWASP API Top 10 的變化
近期的變化中有哪些亮點
API3:2023 BOPLA 與 API1:2023 BOLA 有什么不同
批量分配和過度數據泄露現在合并到損壞對象屬性級別授權(BOPLA) 中。失效的對象級授權 (BOLA) 和 BOPLA 之間的區別在于,BOLA 引用整個對象,而 BOPLA 引用對象內部的屬性(圖 2)。
圖 2:BOPLA 指的是對象內部的屬性
在新的定義中要求防御者更深入地研究對象,這增加了檢測攻擊所需的復雜性和業務邏輯理解水平。
被 BOLA 涵蓋并不意味著您也被 BOPLA所涵蓋,將批量分配和過度數據暴露合并到一個類別中強調了對象中屬性所需的注意。
對于選擇 API 安全產品的 CISO 來說,這種區別非常重要,因為他們需要確保產品涵蓋這兩種攻擊。
API6:2023 服務器端請求偽造已加入,API8:2019 注入已退出
OWASP 社區放棄了注入的嚴重性并添加了服務器端請求偽造 (SSRF)。 這是一個大膽的舉措,它表明托管安全服務提供商的格局正在發生變化,以及人們對安全產品開箱即用地解決威脅的期望正在發生變化。 此更改還允許在TOP 10中提供另一個攻擊媒介的詳細信息。
以下是 OWASP 社區選擇進行此更改的一些建議原因:
- 在云中,Kubernetes 和Docker 通過API 傳遞URL,因此更多的API 可能比注入更容易受到SSRF 的攻擊。
- 使用流行的服務(SaaS、PaaS、CloudaaS 等)比命令(例如SSO 和OAuth 2.0)更有可能公開URL,并且更有可能進行重定向。
- 注入現在本質上屬于 API7:2023 安全配置錯誤的一部分
- 適當的安全配置包括 Web 應用程序防火墻,默認情況下應防止注入。
API8:2023 缺乏對自動威脅的保護是TOP 10 中的新內容
OWASP 建議,隨著時間的推移,限速防御措施的有效性會降低,除了實施缺陷或任何其他漏洞外,機器人程序可以通過按預期使用 API 以自動化方式對公司造成傷害。 詳情參考OWASP 對 Web 應用程序的自動化威脅,它沒有提供針對 API 的獨特視角,但采用了通用方法。
以下是您需要了解的有關此補充的信息:
- 自動化威脅正在攻克防御并變得更加復雜。
- API 是焦點,因為它的目標是大規模服務。
- 自動化威脅防御層必須觀察所有業務邏輯,而不僅僅是API。
API10:2023 API 的不安全使用也是TOP 10 中的新增內容
由于-aaS 類產品的迅速發展,API 往往需要與不同的內部和外部(第三方)服務進行集成和通信,發送數據和接收數據。 在這些情況下遵循“基本”安全規則也很重要,安全產品在這個領域檢測/主動防御可能會很復雜。
OWASP 在其文檔中包含了一系列建議,包括一般建議和特定于 API 的建議,例如:
- 仔細遵循重定向。
- 將該種監督納入業務邏輯
- 擁有檢查/監控/檢查流量的安全產品
- 不要相信第三方的 API,盡管它們通常為付費服務(例如,推薦引擎或搜索引擎)。
- 在您的應用程序中建立防御和限制
最終見解與要點
新的 OWASP API 安全 Top 10發布候選版本是朝著 API 特定方向邁出的重要一步,它與以應用程序為中心的 Top 10 有所不同,并強調了 API 威脅的獨特性。
需要記住的一些要點包括:
- API 難以保護。 攻擊非常復雜,可能是特定于客戶的,并且可能需要了解 API 內部的業務邏輯。 因此,安全產品可能需要更高的計算能力才能充分保護 API。
- OWASP 強調了 API 安全領域的幾個新主題:
- 不應信任第三方和內部服務
- 云環境、容器和 Kubernetes 作為 API 安全性的一部分(在高級別)包含在內,并在 URL 傳遞的高風險 (SSRF) 中發揮作用
- “授權”在前五大 API攻擊主題中占了四名。其強調了 API 授權的復雜性,以及測試和識別由錯誤的 API 邏輯而不是軟件問題引起的漏洞的難度。
有關 API 的其他信息
Akamai 跟蹤 API 的使用情況和 API 流量,作為其互聯網狀況 (SOTI) 報告的一部分。 您可以閱讀以前的 SOTI 報告以了解更多信息,并查看每個季度的新 SOTI 報告。
