日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

開放全球應用程序安全項目（OWASP） 最近發(fā)布了自 2019 年以來其 API 安全 Top 10 文檔的第一個更新版本的候選版本（草案）。讓我們回顧一下在該草案中提議的更改，看看哪些關鍵因素正在影響當今的 API 漏洞，以便您可以更好地了解保護 API 的旅程。

海陽網(wǎng)站建設公司成都創(chuàng)新互聯(lián)公司,海陽網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為海陽近1000家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿網(wǎng)站制作要多少錢，請找那個售后服務好的海陽做網(wǎng)站的公司定做！

面對無處不在的安全威脅，就讓 Akamai 安全解決方案為你豎起“防護盾牌”！

延伸閱讀，了解Akamai安全解決方案

隨時隨地，幫助您捕捉每一個安全風險！

什么是 OWASP Top 10？

OWASP 是一個非政府組織，它根據(jù)社區(qū)反饋和專家評估創(chuàng)建安全意識文檔，描述當今組織中最常見的漏洞類型。

OWASP Top 10 于 2003 年首次發(fā)布，并定期更新。 TOP 10 名的受眾范圍從開發(fā)人員到安全分析師再到 CISO。 有些人專注于文檔的更多技術方面，有些人使用它來確保他們購買的產(chǎn)品具有正確的覆蓋范圍。

OWASP API Top 10

除了 Web 應用程序安全 Top 10 之外，OWASP 還發(fā)布了一份單獨的 API Top 10 文檔，以強調 API 安全需要一種獨特的方法。 OWASP API 安全項目“專注于理解和減輕應用程序編程接口 (API) 的獨特漏洞和安全風險的策略和解決方案?！?/p>

API Top 10 自 2019 年以來沒有更新過。從那時起，各行業(yè)對 API 的依賴變得更加普遍，70% 的開發(fā)人員今年預計將增加 API 的使用。

OWASP API 安全 Top 10 候選發(fā)布版本的最新更新現(xiàn)已推出。 讓我們回顧一下今天的 API 漏洞格局有何不同（圖 1）。

圖 1：2019 年以來 OWASP API Top 10 的變化

近期的變化中有哪些亮點

API3:2023 BOPLA 與 API1:2023 BOLA 有什么不同

批量分配和過度數(shù)據(jù)泄露現(xiàn)在合并到損壞對象屬性級別授權（BOPLA） 中。失效的對象級授權 （BOLA） 和 BOPLA 之間的區(qū)別在于，BOLA 引用整個對象，而 BOPLA 引用對象內部的屬性（圖 2）。

圖 2：BOPLA 指的是對象內部的屬性

在新的定義中要求防御者更深入地研究對象，這增加了檢測攻擊所需的復雜性和業(yè)務邏輯理解水平。

被 BOLA 涵蓋并不意味著您也被 BOPLA所涵蓋，將批量分配和過度數(shù)據(jù)暴露合并到一個類別中強調了對象中屬性所需的注意。

對于選擇 API 安全產(chǎn)品的 CISO 來說，這種區(qū)別非常重要，因為他們需要確保產(chǎn)品涵蓋這兩種攻擊。

API6：2023 服務器端請求偽造已加入，API8：2019 注入已退出

OWASP 社區(qū)放棄了注入的嚴重性并添加了服務器端請求偽造 (SSRF)。 這是一個大膽的舉措，它表明托管安全服務提供商的格局正在發(fā)生變化，以及人們對安全產(chǎn)品開箱即用地解決威脅的期望正在發(fā)生變化。 此更改還允許在TOP 10中提供另一個攻擊媒介的詳細信息。

以下是 OWASP 社區(qū)選擇進行此更改的一些建議原因：

• 在云中，Kubernetes 和Docker 通過API 傳遞URL，因此更多的API 可能比注入更容易受到SSRF 的攻擊。
• 使用流行的服務（SaaS、PaaS、CloudaaS 等）比命令（例如SSO 和OAuth 2.0）更有可能公開URL，并且更有可能進行重定向。
• 注入現(xiàn)在本質上屬于 API7:2023 安全配置錯誤的一部分
• 適當?shù)陌踩渲冒?Web 應用程序防火墻，默認情況下應防止注入。

API8:2023 缺乏對自動威脅的保護是TOP 10 中的新內容

OWASP 建議，隨著時間的推移，限速防御措施的有效性會降低，除了實施缺陷或任何其他漏洞外，機器人程序可以通過按預期使用 API 以自動化方式對公司造成傷害。 詳情參考OWASP 對 Web 應用程序的自動化威脅，它沒有提供針對 API 的獨特視角，但采用了通用方法。

以下是您需要了解的有關此補充的信息：

• 自動化威脅正在攻克防御并變得更加復雜。
• API 是焦點，因為它的目標是大規(guī)模服務。
• 自動化威脅防御層必須觀察所有業(yè)務邏輯，而不僅僅是API。

API10:2023 API 的不安全使用也是TOP 10 中的新增內容

由于-aaS 類產(chǎn)品的迅速發(fā)展，API 往往需要與不同的內部和外部（第三方）服務進行集成和通信，發(fā)送數(shù)據(jù)和接收數(shù)據(jù)。 在這些情況下遵循“基本”安全規(guī)則也很重要，安全產(chǎn)品在這個領域檢測/主動防御可能會很復雜。

OWASP 在其文檔中包含了一系列建議，包括一般建議和特定于 API 的建議，例如：

• 仔細遵循重定向。
• 將該種監(jiān)督納入業(yè)務邏輯
• 擁有檢查/監(jiān)控/檢查流量的安全產(chǎn)品
• 不要相信第三方的 API，盡管它們通常為付費服務（例如，推薦引擎或搜索引擎）。
• 在您的應用程序中建立防御和限制

最終見解與要點

新的 OWASP API 安全 Top 10發(fā)布候選版本是朝著 API 特定方向邁出的重要一步，它與以應用程序為中心的 Top 10 有所不同，并強調了 API 威脅的獨特性。

需要記住的一些要點包括：

• API 難以保護。 攻擊非常復雜，可能是特定于客戶的，并且可能需要了解 API 內部的業(yè)務邏輯。 因此，安全產(chǎn)品可能需要更高的計算能力才能充分保護 API。
• OWASP 強調了 API 安全領域的幾個新主題：
• 不應信任第三方和內部服務
• 云環(huán)境、容器和 Kubernetes 作為 API 安全性的一部分（在高級別）包含在內，并在 URL 傳遞的高風險 (SSRF) 中發(fā)揮作用
• “授權”在前五大 API攻擊主題中占了四名。其強調了 API 授權的復雜性，以及測試和識別由錯誤的 API 邏輯而不是軟件問題引起的漏洞的難度。

有關 API 的其他信息

Akamai 跟蹤 API 的使用情況和 API 流量，作為其互聯(lián)網(wǎng)狀況 (SOTI) 報告的一部分。 您可以閱讀以前的 SOTI 報告以了解更多信息，并查看每個季度的新 SOTI 報告。

了解更多

分享標題：OWASPAPI安全Top10有了新變化，這對我們意味著什么？
URL地址：http://www.5511xx.com/article/dpjsjio.html