回顾2023年OWASP API前十名

巴塞尔因车祸Kablawi
作者: 巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3
发表日期: 2023年8月1日

在数字化转型的时代, 许多组织依赖于应用程序编程接口(api), 使不同的应用程序能够相互通信. api使开发人员能够快速轻松地将新服务集成到他们的应用程序中, 允许他们为客户创造新的产品. API调用占Cloudflare自身总请求的54%,1 这证实了2019年的一项发现,即超过80%的网络流量是API通信.2

开放Web应用程序安全项目(OWASP)已经成为帮助开发人员和安全团队了解与他们的Web应用程序相关的风险类型的标准. 如果API不安全, 恶意网络攻击者可以利用它相对容易地获取敏感数据. In 2019, OWASP小组认为,随着api的日益普及, 因此需要一个api特定的十大漏洞列表.3 在2023年,发布了新版的OWASP API Top 10 (图1).4 以确保澳门赌场官方下载不会遭受API安全漏洞的噩梦, 更新后的OWASP API Top 10列表值得一看.

图1-OWASP

API1:2023破碎对象级别授权
这是最常见和最具破坏性的API漏洞,因为服务器组件通常不会全面跟踪客户端的状态. 而不是, 它依赖于从客户端发送的对象id等参数来决定访问哪些对象.

攻击者可以通过操纵在请求中发送的对象的标识(ID)来利用易受破坏的对象级授权(BOLA)的API端点,以冒充其他用户并获得对数据的未经授权访问.

影响
利用BOLA,恶意网络攻击者可以获得未经授权的机密信息,如金融数据和其他敏感的个人数据. 如果攻击者执行了他们没有被授权执行的操作,它还可能导致完整性的丧失.g.、删除数据、更改设置).

例子
攻击者将自己验证为用户A,并检索和/或更改用户B的数据.

根本原因及预防
造成该漏洞的根本原因可能有几个,包括:

  • 未能在对象级别强制执行访问控制
  • 缺乏适当的输入验证或处理

可能的预防技术包括:

  • 定义数据访问策略并实现相关控制
  • 在应用程序逻辑层实施数据访问控制
  • 实现自动化测试以发现破碎的对象级授权缺陷

API2:2023认证失效
在缺乏密码管理成熟度的情况下,身份验证机制很容易成为攻击者的目标. 弱或差的身份验证由于缺乏安全控制或实现不佳的控制而产生漏洞.

弱或差的身份验证由于缺乏安全控制或实现不佳的控制而产生漏洞.

影响
此漏洞允许攻击者获得对用户的控制, 哪些可能导致数据被盗和执行未经授权的交易. 当攻击者在短时间内访问多个帐户时(通过凭证填充或暴力攻击), 它可能导致影响数百万用户的广泛数据暴露. 这可能导致组织遭受声誉损害或法律后果.

例子
攻击者可以利用从其他服务窃取或泄露的凭据,试图获得对API的未经授权访问. 在安全密码存储或处理不当的情况下,他们还可以访问API的数据库.

根本原因及预防
该漏洞的潜在根本原因可能包括:

  • 弱密码要求
  • 使用常遭暴力破解的id /密码(例如.g.(凭证填充)
  • 没有完全自动化的公共图灵测试来区分计算机和人类(CAPTCHA)限速锁定
  • 统一资源定位器(url)中包含的身份验证信息(例如.g.,令牌,密码)
  • 未经身份验证而更改密码
  • 不验证令牌的真实性
  • 密码存储不安全

推荐的预防策略是定义身份验证策略和标准, 这可能是基于现有的控制,如美国国家技术学院(NIST)特别出版物(SP) 800-535 控制ac -16访问管理, NIST SP 800-53控制ac -3访问强制, 或国际标准化组织(ISO)控制ISO 27001:2022附件A控制.17-Authentication信息.6 参考这些控制可以帮助澳门赌场官方下载制定有效的认证和密码策略.

API3:2023破碎对象属性级别授权
当没有经过验证的访问权限的用户通过读取和/或修改对象的值来利用端点时,就会出现此漏洞. 更新对象元素的能力允许大量分配, 哪一种输入和授权验证缺陷允许攻击者操纵客户端提供的数据进行高级利用. 如果暴露了不必要的数据,可能会出现过度的数据暴露.

影响
敏感数据可能会泄露给未授权方, 丢失或操纵以实现访问权限升级. 如果攻击者利用此漏洞, 它可能导致个人信息的永久丢失,并造成重大的财务分配和损失.

例子
此漏洞的一个例子是,如果用户能够通过设置“account-type=business”将订阅计划从基本计划更改为具有更高级功能的业务计划,,或者用户的搜索返回过多的个人身份信息(PII).g.,姓名,地址,身份证件,电子邮箱).

根本原因及预防
API3:2023的一些常见根本原因包括:

  • 未能正确地对对象属性强制授权
  • 过时或不安全的授权机制
  • 在开发生命周期中不正确或不完整的安全性测试

防止这种脆弱性成为现实, 组织可以采取几个步骤, 包括:

  • 确保用户只能访问合法的、允许的字段
  • 只返回用例所需的最小数据量

API4:2023无限制的资源消耗
API请求消耗网络带宽、计算能力、内存和存储空间等资源. 满足请求所需的资源量在很大程度上取决于用户输入和端点业务逻辑. 缺乏资源限制可能导致流量控制不足, 它允许大量的数据检索和操作中断的风险.

影响
过度使用API资源允许攻击者发送大量请求,从而导致分布式拒绝服务(DDoS)。, 减慢API服务的响应速度或完全关闭服务. 数据收集是此漏洞的另一个可能影响, 因为如果API很慢或很慢, 攻击者可以通过下载大量数据来窃取个人信息.

例子
这个漏洞可以在几个例子中观察到,包括:

  • 一个API,允许用户请求数据库中所有可用产品的列表,而不限制在单个查询中可以请求的产品数量
  • 允许用户上传文件的API, 但不限制可以上传的文件的大小或数量

根本原因及预防
可能导致漏洞的根源有很多,包括:

  • 音量控制缺失或不足
  • 执行超时,指示允许执行请求的最大秒数
  • 已达到最大可分配内存
  • 已达到文件描述符的最大数目
  • 已达到文件上传的最大大小
  • 在单个请求中返回过多的记录

应该实施流量控制,以确保不实现漏洞的风险. 控制如NIST SP 800-53控制ac -20外部系统用户或ISO 27001:2022控制A.8.20 -网络安全可以通过指定网络带宽的最大百分比和单个源的最大请求数来帮助建立保护和加固网络连接的设备和系统的要求.

API5:2023功能级授权损坏
这涉及到使用APU功能进行修改, 创建, 更新和/或删除其他用户的资源.

其他属性包括:

  • 通常包括替换被动动作(如.g., GET)与活动的(e.g., put, delete)
  • 可以用来提升特权吗

影响
管理功能是这类漏洞的主要目标, 其中,攻击者执行恶意活动,例如创建, 修改或删除数据. 这些数据可能被用来非法冒充其他用户的身份,并获取他们的机密信息.

例子
有几个例子可以说明这个漏洞,包括:

  • 用PUT代替GET
  • 修改URL参数(1).e., " role=admin, " account-type= " business ")
  • 删除发票
  • 将账户余额重置为零美元

根本原因及预防
此漏洞可归因于几个可能的原因,包括:

  • API未能在功能或操作级别正确强制授权
  • 使用不充分或不完整的基于角色的访问控制(RBAC)机制
  • 在开发生命周期中不正确或不完整的安全性测试

预防技术的选择包括:

  • 识别暴露高敏感功能的功能,并制定访问策略和规则来限制未经授权的访问.
  • 实施持续的发布测试以确保正确的行为.

api:2023服务器端资源伪造(SSRF)
SSRF涉及在API请求中插入URL以向第三方服务器发出请求. 当API无法正确验证用户输入并基于不可信的输入构造URL时,就会出现此漏洞.

影响
此漏洞为恶意请求创建了一个通道, 数据访问或其他欺诈活动,如端口扫描, 信息披露, 并绕过防火墙或其他安全机制. 如果检索到敏感数据,它还可能导致数据泄漏. 如果对其他系统或服务发起攻击,可能会产生其他安全问题.

例子
此漏洞的一个例子是,如果攻击者提交了端点的访问URL输入,并且从恶意URL下载了恶意软件.

根本原因及预防
此漏洞的可能根源包括:

  • 缺乏适当的输入验证
  • 薄弱或过时的访问控制
  • 在开发期间未能正确保护api
  • 不充分的安全测试和缺乏适当的安全控制, 比如加密和标记化

可以通过验证和清理所有用户提供的信息来避免此漏洞, 包括URL参数. 组织还可以确保只允许可信资源之间的通信.

API7:2023安全配置错误
攻击者使用机器人进行扫描, 检测和利用未打补丁的系统或未受保护的文件和目录的错误配置,以获得对系统的未经授权的访问.

攻击者使用机器人进行扫描, 检测和利用未打补丁的系统或未受保护的文件和目录的错误配置,以获得对系统的未经授权的访问.

影响
此漏洞可能导致敏感数据的暴露,或者可能导致整个服务器被破坏.

例子
例如, 如果数据库服务器配置错误且未更改默认登录凭据, 攻击者可以很容易地访问数据库并窃取敏感数据. 另外,如果API没有正确配置为使用安全通信协议(例如.g., 安全超文本传输协议(HTTPS), 攻击者可以拦截通信并窃取敏感数据.

根本原因及预防
此漏洞的潜在潜在原因可能包括:

  • 缺乏安全加固
  • 配置不当的权限
  • 缺少安全补丁
  • 启用不必要的功能
  • 丢失传输层安全性(TLS)
  • 跨域资源共享(CORS)策略缺失或无效

为了防止这个漏洞的发生,组织应该考虑:

  • 实施加固程序
  • 常规检查配置
  • 实现自动化的、持续的安全测试

API8:2023缺乏对自动化威胁的保护
利用此漏洞通常涉及攻击者将API的合法业务工作流作为过度自动化使用的目标. 攻击者可以识别敏感的业务流,并利用对这些流的自动访问对澳门赌场官方下载造成损害.

影响
如果阻止合法用户购买产品,API8:2023可能导致关键业务活动的损失. 利用此漏洞还可以允许攻击者向客户传播错误信息, 通过商业渠道与利益相关者或公众进行沟通.

例子
大规模自动购票或大量推荐奖励都是这种脆弱性的实例. 攻击者还可能向澳门赌场官方下载的电子邮件或短信订阅者发送虚假促销信息.

根本原因及预防
此漏洞的根本原因可能包括:

  • 缺乏机器人检测
  • 没有利率限制
  • 执行不佳的身份验证过程
  • 验证码协议不足

要避免此漏洞, 澳门赌场官方下载应该积极主动地识别关键业务工作流, 实施欺诈流量检测机制和控制, 组织控制机制的自动化测试.

API9:2023库存管理不当
当存在未授权的API访问时,就会出现此漏洞, 未使用的API版本或通过受信任的第三方.

影响
API9:2023可能导致数据盗窃,如果攻击者通过旧的, 连接到数据库的未打补丁的API版本.

例子
这种脆弱性可能以几种方式形成,包括:

  • 不适当的库存管理可能导致重复端点的创建, 导致混乱和潜在的安全漏洞.
  • 如果API缺乏适当的库存管理协议, 已弃用的端点可能仍然可用, 使API容易受到攻击.
  • api可以使用外部资源,如库、框架或数据库. 这些资源可能没有得到适当的跟踪或维护,可能已经过时或存在潜在的漏洞.

根本原因及预防
此漏洞的潜在原因可能包括:

  • API的过时版本
  • 应用补丁的端点
  • 安全性要求较弱的端点
  • 通过第三方访问API
  • 过时的文件
  • 不必要地暴露端点

组织可以考虑的预防措施包括:

  • 加强资产管理
  • 为应用所有api(在网关中)实施严格的策略
  • 实现API版本控制和退役的规则和流程
  • 定期审计第三方API访问,以确保令人满意的保护

2023 api的不安全消费
可以通过使用第三方api进行公开,这些api通常是可信的,但也可能被利用. 如果被利用,第三方可以用来攻击任何依赖于它们的api.

影响
不安全地使用api可能导致数据泄露或被盗, 或者账户接管导致数据隐私问题, 特别是当API用于在系统之间传输敏感信息时.

例子
攻击者危及第三方API, 导致其响应重定向到恶意站点, 之后,客户端盲目地遵循重定向而不进行验证.

根本原因及预防
此漏洞可能由以下几个根本原因造成,包括:

  • 验证不足导致结构化查询语言(SQL)注入或跨站点脚本(XSS)
  • 错误处理能力差
  • 身份验证和授权不足

建议的预防方法包括:

  • 评估第三方API的安全控制
  • 验证第三方API返回的数据
  • 加密所有API通信
  • 维护一个已知位置的批准列表,集成API可以重定向到这些位置

结论

攻击面日益扩大. 同时,大部分互联网流量是通过API通信驱动的. 因此,保护api对于保护敏感数据免受网络攻击至关重要.

了解OWASP在2023年确定的十大API安全风险因素非常重要, 提供了一些例子和根本原因, 除了NIST SP 800-53和ISO 27001:2022为信息安全管理系统(ISMS)建立的可能的预防方法和控制之外. 实现健壮的安全控制并定期评估api的漏洞,可以最大限度地减少与api相关的风险,并有助于防止潜在的数据泄露.

攻击者通过搜索和识别利用漏洞的新方法来保持自己的最新状态. 保持最新的安全趋势和法规对于组织确保敏感数据和系统的持续保护至关重要.

尾注

1 Moltene D.; "API流量现况, Cloudflare博客,2022年1月26日
2 Akamiai。”Akamai State of the Internet Security Report: Retailers Most Common Credential Stuffing Attack Victim; Points to Dramatic Rise in API Traffic as Key Trend2019年2月26日
3 OWASP。”OWASP API安全项目"
4 OWASP。”OWASP API安全Top 10
5 美国国家标准与技术研究院, NIST特别出版物(SP) 800-53, 修改5, 初稿, 信息系统和组织的安全和隐私控制, 美国,2020年
6 国际标准化组织、国际电工委员会、 ISO/IEC 27001 -信息安全管理体系瑞士,2022年

巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3

信息安全和数据隐私顾问是否具有10年以上的经验,在电信行业的不同行业和技术中提供网络和安全管理和支持服务, 金融科技和非政府组织(NGO)领域. Kablawi促进信息安全和数据隐私, 就安全方向和资源投资向高层领导提供建议, 并设计适当的政策,利用行业公认的框架和标准来管理信息安全和数据隐私计划.