In the age of digital transformation, 许多组织依赖于应用程序编程接口(api), 使不同的应用程序能够相互通信. api使开发人员能够快速轻松地将新服务集成到他们的应用程序中, allowing them to 创建 new offerings for customers. API调用占Cloudflare自身总请求的54%,1 这证实了2019年的一项发现,即超过80%的网络流量是API通信.2
开放Web应用程序安全项目(OWASP)已经成为帮助开发人员和安全团队了解与他们的Web应用程序相关的风险类型的标准. 如果API不安全, 恶意网络攻击者可以利用它相对容易地获取敏感数据. In 2019, OWASP小组认为,随着api的日益普及, 因此需要一个api特定的十大漏洞列表.3 在2023年,发布了新版的OWASP API Top 10 (图1).4 以确保澳门赌场官方下载不会遭受API安全漏洞的噩梦, the updated OWASP API Top 10 list is worth examining.
API1:2023 Broken Object Level Authorization
这是最常见和最具破坏性的API漏洞,因为服务器组件通常不会全面跟踪客户端的状态. 而不是, 它依赖于从客户端发送的对象id等参数来决定访问哪些对象.
攻击者可以通过操纵在请求中发送的对象的标识(ID)来利用易受破坏的对象级授权(BOLA)的API端点,以冒充其他用户并获得对数据的未经授权访问.
影响
利用BOLA,恶意网络攻击者可以获得未经授权的机密信息,如金融数据和其他敏感的个人数据. 如果攻击者执行了他们没有被授权执行的操作,它还可能导致完整性的丧失.g., deleting data, changing settings).
例子
攻击者将自己验证为用户A,并检索和/或更改用户B的数据.
根本原因及预防
造成该漏洞的根本原因可能有几个,包括:
- Failing to enforce access controls at the object level
- Lack of proper input validation or sanitization
Possible prevention techniques include:
- 定义数据访问策略并实现相关控制
- 在应用程序逻辑层实施数据访问控制
- 实现自动化测试以发现破碎的对象级授权缺陷
API2:2023 Broken Authentication
在缺乏密码管理成熟度的情况下,身份验证机制很容易成为攻击者的目标. 弱或差的身份验证由于缺乏安全控制或实现不佳的控制而产生漏洞.
弱或差的身份验证由于缺乏安全控制或实现不佳的控制而产生漏洞.
影响
此漏洞允许攻击者获得对用户的控制, 哪些可能导致数据被盗和执行未经授权的交易. 当攻击者在短时间内访问多个帐户时(通过凭证填充或暴力攻击), 它可能导致影响数百万用户的广泛数据暴露. 这可能导致组织遭受声誉损害或法律后果.
例子
攻击者可以利用从其他服务窃取或泄露的凭据,试图获得对API的未经授权访问. 在安全密码存储或处理不当的情况下,他们还可以访问API的数据库.
根本原因及预防
该漏洞的潜在根本原因可能包括:
- 弱密码要求
- 使用常遭暴力破解的id /密码(例如.g.(凭证填充)
- 没有完全自动化的公共图灵测试来区分计算机和人类(CAPTCHA)限速锁定
- 统一资源定位器(url)中包含的身份验证信息(例如.g.,令牌,密码)
- Changing passwords without identity verification
- Nonvalidation of token authenticity
- 密码存储不安全
推荐的预防策略是定义身份验证策略和标准, 这可能是基于现有的控制,如美国国家技术学院(NIST)特别出版物(SP) 800-535 control AC-16–Access Management, the NIST SP 800-53 control AC-3–Access Enforcement, 或国际标准化组织(ISO)控制ISO 27001:2022附件A控制.17-Authentication信息.6 参考这些控制可以帮助澳门赌场官方下载制定有效的认证和密码策略.
API3:2023 Broken Object Property Level Authorization
当没有经过验证的访问权限的用户通过读取和/或修改对象的值来利用端点时,就会出现此漏洞. 更新对象元素的能力允许大量分配, 哪一种输入和授权验证缺陷允许攻击者操纵客户端提供的数据进行高级利用. 如果暴露了不必要的数据,可能会出现过度的数据暴露.
影响
敏感数据可能会泄露给未授权方, 丢失或操纵以实现访问权限升级. If an attacker exploits this vulnerability, 它可能导致个人信息的永久丢失,并造成重大的财务分配和损失.
例子
此漏洞的一个例子是,如果用户能够通过设置“account-type=business”将订阅计划从基本计划更改为具有更高级功能的业务计划,,或者用户的搜索返回过多的个人身份信息(PII).g.,姓名,地址,身份证件,电子邮箱).
根本原因及预防
Some common root causes of API3:2023 include:
- 未能正确地对对象属性强制授权
- Outdated or insecure authorization mechanisms
- 在开发生命周期中不正确或不完整的安全性测试
To prevent this vulnerability from becoming a reality, organizations can take several steps, 包括:
- 确保用户只能访问合法的、允许的字段
- 只返回用例所需的最小数据量
API4:2023 Unrestricted Resource Consumption
API请求消耗网络带宽、计算能力、内存和存储空间等资源. 满足请求所需的资源量在很大程度上取决于用户输入和端点业务逻辑. 缺乏资源限制可能导致流量控制不足, 它允许大量的数据检索和操作中断的风险.
影响
过度使用API资源允许攻击者发送大量请求,从而导致分布式拒绝服务(DDoS)。, 减慢API服务的响应速度或完全关闭服务. 数据收集是此漏洞的另一个可能影响, since if the API is slow or down, 攻击者可以通过下载大量数据来窃取个人信息.
例子
这个漏洞可以在几个例子中观察到,包括:
- 一个API,允许用户请求数据库中所有可用产品的列表,而不限制在单个查询中可以请求的产品数量
- An API that allows users to upload files, 但不限制可以上传的文件的大小或数量
根本原因及预防
可能导致漏洞的根源有很多,包括:
- Missing or inadequate volume controls
- 执行超时,指示允许执行请求的最大秒数
- Maximum allocatable memory is reached
- Maximum number of file descriptors is reached
- Maximum file upload size is reached
- Excessive records are returned in a single request
应该实施流量控制,以确保不实现漏洞的风险. 控制如NIST SP 800-53控制ac -20外部系统用户或ISO 27001:2022控制A.8.20 -网络安全可以通过指定网络带宽的最大百分比和单个源的最大请求数来帮助建立保护和加固网络连接的设备和系统的要求.
API5:2023 Broken Function Level Authorization
This involves using APU functionality to modify, 创建, update and/or delete the resources of another user.
其他属性包括:
- Often involves replacing passive actions (e.g., GET)与活动的(e.g., put, delete)
- Can be used to escalate privilege
影响
管理功能是这类漏洞的主要目标, 其中,攻击者执行恶意活动,例如创建, 修改或删除数据. 这些数据可能被用来非法冒充其他用户的身份,并获取他们的机密信息.
例子
有几个例子可以说明这个漏洞,包括:
- 用PUT代替GET
- 修改URL参数(1).e., “role=admin,” account-type=“business”)
- 删除发票
- Resetting an account balance to zero dollars
根本原因及预防
此漏洞可归因于几个可能的原因,包括:
- API未能在功能或操作级别正确强制授权
- 使用不充分或不完整的基于角色的访问控制(RBAC)机制
- 在开发生命周期中不正确或不完整的安全性测试
Options for prevention techniques include:
- 识别暴露高敏感功能的功能,并制定访问策略和规则来限制未经授权的访问.
- 实施持续的发布测试以确保正确的行为.
API6:2023 Server-Side Resource Forgery (SSRF)
SSRF涉及在API请求中插入URL以向第三方服务器发出请求. 当API无法正确验证用户输入并基于不可信的输入构造URL时,就会出现此漏洞.
影响
此漏洞为恶意请求创建了一个通道, 数据访问或其他欺诈活动,如端口扫描, 信息披露, and bypassing firewalls or other security mechanisms. 如果检索到敏感数据,它还可能导致数据泄漏. 如果对其他系统或服务发起攻击,可能会产生其他安全问题.
例子
此漏洞的一个例子是,如果攻击者提交了端点的访问URL输入,并且从恶意URL下载了恶意软件.
根本原因及预防
Possible root causes of this vulnerability include:
- Lack of proper input validation
- 薄弱或过时的访问控制
- Failure to properly secure APIs during development
- 不充分的安全测试和缺乏适当的安全控制, such as encryption and tokenization
可以通过验证和清理所有用户提供的信息来避免此漏洞, 包括URL参数. 组织还可以确保只允许可信资源之间的通信.
API7:2023 Security Misconfiguration
攻击者使用机器人进行扫描, 检测和利用未打补丁的系统或未受保护的文件和目录的错误配置,以获得对系统的未经授权的访问.
攻击者使用机器人进行扫描, 检测和利用未打补丁的系统或未受保护的文件和目录的错误配置,以获得对系统的未经授权的访问.
影响
此漏洞可能导致敏感数据的暴露,或者可能导致整个服务器被破坏.
例子
例如, 如果数据库服务器配置错误且未更改默认登录凭据, 攻击者可以很容易地访问数据库并窃取敏感数据. 另外,如果API没有正确配置为使用安全通信协议(例如.g., Hypertext Transfer Protocol Secure [HTTPS]), 攻击者可以拦截通信并窃取敏感数据.
根本原因及预防
此漏洞的潜在潜在原因可能包括:
- 缺乏安全加固
- Improperly configured permissions
- 缺少安全补丁
- 启用不必要的功能
- Missing Transport Layer Security (TLS)
- 跨域资源共享(CORS)策略缺失或无效
为了防止这个漏洞的发生,组织应该考虑:
- Implementing hardening procedures
- Routinely reviewing configurations
- Implementing automated, continuous security testing
API8:2023 Lack of Protection from Automated Threats
利用此漏洞通常涉及攻击者将API的合法业务工作流作为过度自动化使用的目标. 攻击者可以识别敏感的业务流,并利用对这些流的自动访问对澳门赌场官方下载造成损害.
影响
如果阻止合法用户购买产品,API8:2023可能导致关键业务活动的损失. 利用此漏洞还可以允许攻击者向客户传播错误信息, 通过商业渠道与利益相关者或公众进行沟通.
例子
大规模自动购票或大量推荐奖励都是这种脆弱性的实例. 攻击者还可能向澳门赌场官方下载的电子邮件或短信订阅者发送虚假促销信息.
根本原因及预防
Root causes of this vulnerability may include:
- 缺乏机器人检测
- 没有利率限制
- Poorly implemented authentication procedures
- 验证码协议不足
要避免此漏洞, 澳门赌场官方下载应该积极主动地识别关键业务工作流, 实施欺诈流量检测机制和控制, and organizing automated testing of control mechanisms.
API9:2023 Improper Inventory Management
当存在未授权的API访问时,就会出现此漏洞, unused version of API or through a trusted third party.
影响
API9:2023可能导致数据盗窃,如果攻击者通过旧的, 连接到数据库的未打补丁的API版本.
例子
这种脆弱性可能以几种方式形成,包括:
- 不适当的库存管理可能导致重复端点的创建, 导致混乱和潜在的安全漏洞.
- If the API lacks proper inventory management protocols, deprecated endpoints may still be available for use, making the API vulnerable to attacks.
- api可以使用外部资源,如库、框架或数据库. 这些资源可能没有得到适当的跟踪或维护,可能已经过时或存在潜在的漏洞.
根本原因及预防
此漏洞的潜在原因可能包括:
- API的过时版本
- 应用补丁的端点
- Endpoint with weak security requirements
- API access through a third party
- 过时的文件
- Unnecessarily exposed endpoints
组织可以考虑的预防措施包括:
- 加强资产管理
- 为应用所有api(在网关中)实施严格的策略
- 实现API版本控制和退役的规则和流程
- 定期审计第三方API访问,以确保令人满意的保护
API10:2023 Unsafe Consumption of APIs
可以通过使用第三方api进行公开,这些api通常是可信的,但也可能被利用. 如果被利用,第三方可以用来攻击任何依赖于它们的api.
影响
不安全地使用api可能导致数据泄露或被盗, 或者账户接管导致数据隐私问题, 特别是当API用于在系统之间传输敏感信息时.
例子
An attacker compromises a third-party API, 导致其响应重定向到恶意站点, 之后,客户端盲目地遵循重定向而不进行验证.
根本原因及预防
此漏洞可能由以下几个根本原因造成,包括:
- 验证不足导致结构化查询语言(SQL)注入或跨站点脚本(XSS)
- 错误处理能力差
- Inadequate authentication and authorization
Recommended prevention techniques include:
- 评估第三方API的安全控制
- Validating data returned by the third-party API
- Encrypting all API communication
- 维护一个已知位置的批准列表,集成API可以重定向到这些位置
结论
The attack surface is growing larger day by day. 同时,大部分互联网流量是通过API通信驱动的. 因此,保护api对于保护敏感数据免受网络攻击至关重要.
了解OWASP在2023年确定的十大API安全风险因素非常重要, supplied with some examples and root causes, 除了NIST SP 800-53和ISO 27001:2022为信息安全管理系统(ISMS)建立的可能的预防方法和控制之外. 实现健壮的安全控制并定期评估api的漏洞,可以最大限度地减少与api相关的风险,并有助于防止潜在的数据泄露.
攻击者通过搜索和识别利用漏洞的新方法来保持自己的最新状态. 保持最新的安全趋势和法规对于组织确保敏感数据和系统的持续保护至关重要.
尾注
1 Moltene D.; "API流量现况,” The Cloudflare Blog, 26 January 2022
2 Akamiai。”Akamai State of the Internet Security Report: Retailers Most Common Credential Stuffing Attack Victim; Points to Dramatic Rise in API Traffic as Key Trend2019年2月26日
3 OWASP。”OWASP API安全项目"
4 OWASP。”OWASP API Security Top 10 2023RC”
5 National Institute of Standards and Technology, NIST Special Publication (SP) 800-53, 修改5, 初稿, 信息系统和组织的安全和隐私控制, 美国,2020年
6 国际标准化组织、国际电工委员会、 ISO/IEC 27001—Information security management systems瑞士,2022年
巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3
信息安全和数据隐私顾问是否具有10年以上的经验,在电信行业的不同行业和技术中提供网络和安全管理和支持服务, fintech and nongovernmental organization (NGO) domains. Kablawi促进信息安全和数据隐私, 就安全方向和资源投资向高层领导提供建议, 并设计适当的政策,利用行业公认的框架和标准来管理信息安全和数据隐私计划.