2023年6月,OWASP非營(yíng)利安全組織對(duì)2019年發(fā)布的十大API安全風(fēng)險(xiǎn)進(jìn)行了首次重大更新�����。新擬議的榜單重點(diǎn)強(qiáng)調(diào)了授權(quán)問(wèn)題,在前五大攻擊中占據(jù)四席�����。
2023年6月�����,OWASP非營(yíng)利安全組織對(duì)2019年發(fā)布的十大API安全風(fēng)險(xiǎn)進(jìn)行了首次重大更新���。新擬議的榜單重點(diǎn)強(qiáng)調(diào)了授權(quán)問(wèn)題��,在前五大攻擊中占據(jù)四席�����。
要想探明API攻擊趨勢(shì)����,小邁先帶您回顧一下四年前的API漏洞榜單�,看看“初代目”安全殺手作案手法,以便和今日現(xiàn)狀對(duì)比,有針對(duì)性地保護(hù)API安全����。
OWASP榜單風(fēng)向一
兩大安全殺手“合體”
當(dāng)我們的目光順著新舊榜單瀏覽時(shí)�,會(huì)發(fā)現(xiàn)OWASP將以前的過(guò)度數(shù)據(jù)暴露和批量分配合并為新的對(duì)象屬性級(jí)別授權(quán)失效(BOPLA)。值得關(guān)注的根本原因?yàn)閷?duì)象屬性級(jí)別授權(quán)驗(yàn)證失敗����。
新舊榜單對(duì)比
相比對(duì)象級(jí)別授權(quán)失效(BOLA)指向整個(gè)對(duì)象,BOPLA則指向?qū)ο髢?nèi)部的屬性��,會(huì)深入查看對(duì)象屬性級(jí)別���,生成過(guò)度共享信息或允許修改或刪除特定屬性的額外風(fēng)險(xiǎn)����。
BOPLA指對(duì)象內(nèi)部的屬性
OWASP榜單風(fēng)向二
SSRF:更常見(jiàn)�、更危險(xiǎn)
當(dāng)下,注入攻擊本質(zhì)上已屬于安全配置錯(cuò)誤��。正確的安全配置會(huì)包括Web應(yīng)用程序和API保護(hù)機(jī)制�,默認(rèn)情況下應(yīng)掃描并防止注入。在新榜單中�����,注入安全風(fēng)險(xiǎn)被剔除后,服務(wù)端請(qǐng)求偽造(SSRF)成了新面孔��。SSRF會(huì)允許攻擊者從服務(wù)器向其他內(nèi)外部系統(tǒng)��,發(fā)出未經(jīng)授權(quán)的請(qǐng)求�����。
SSRF上榜的潛在原因
更常見(jiàn)
API更容易受到SSRF攻擊��,是因?yàn)閷?duì)數(shù)字化技術(shù)的依賴����,如Kubernetes和Docker依賴于HTTPS API基礎(chǔ)上的通信協(xié)議。
更危險(xiǎn)
借助Webhooks�����、SSO集成���,以及經(jīng)API端點(diǎn)獲取/重定向URL文件等技術(shù)��,威脅參與者有機(jī)會(huì)應(yīng)用SSRF�。
OWASP榜單風(fēng)向三
資源風(fēng)險(xiǎn)警鐘長(zhǎng)鳴
資源方面,2019年的“資源訪問(wèn)無(wú)限制”威脅���,側(cè)重于導(dǎo)致API端點(diǎn)不堪重負(fù)相關(guān)風(fēng)險(xiǎn)����,而在2023年��,四號(hào)位安全殺手已經(jīng)轉(zhuǎn)向?yàn)椤拔词芟拗频馁Y源消耗”����。
今天的API端點(diǎn)����,更需要高可用性,而實(shí)施API網(wǎng)關(guān)���、負(fù)載平衡或提供速率限制相關(guān)控制��,正是朝著正確方向邁出的一步��。面對(duì)第三方集成趨勢(shì)�����,此項(xiàng)更新旨在提高企業(yè)安全團(tuán)隊(duì)與公眾的API認(rèn)知�����。
OWASP榜單風(fēng)向四
截流企業(yè)經(jīng)營(yíng)利潤(rùn)
在2023年新增的安全漏洞中���,不受限訪問(wèn)敏感業(yè)務(wù)�,是侵蝕企業(yè)利潤(rùn)的直接威脅��。因?yàn)楣粽叩乃伎寄J?�,即是專注于潛在收益在業(yè)務(wù)流的具體位置�。此類安全風(fēng)險(xiǎn)�,會(huì)因企業(yè)API端點(diǎn)支持的業(yè)務(wù)邏輯而有所差異�����。
相關(guān)API風(fēng)險(xiǎn)示例
例如,在吸引流量方面���,流媒體服務(wù)平臺(tái)會(huì)為分享信用卡信息的新用戶�,提供30天免費(fèi)試用�����。表面來(lái)看,業(yè)務(wù)邏輯只是查看新注冊(cè)的唯一電子郵件地址�。但在漏洞下,新電子郵件地址可以使用相同的信用卡信息輕松訪問(wèn)新的試用版�,導(dǎo)致每月創(chuàng)建新帳戶的用戶,無(wú)限期免費(fèi)使用�����。
OWASP榜單風(fēng)向五
API的不安全使用
2023新榜單的第十大安全殺手�����,定位為“API的不安全使用”���。第三方API應(yīng)用中�����,API經(jīng)常要與不同的內(nèi)部和第三方服務(wù)集成和通信�����。安全邊界的拓展會(huì)讓檢測(cè)漏洞與主動(dòng)防御變得更加復(fù)雜���,因此遵循基本安全規(guī)則十分必要�。
OWASP相關(guān)建議
嚴(yán)格遵循重定向
將監(jiān)督步驟構(gòu)建到業(yè)務(wù)邏輯中,部署持續(xù)監(jiān)控和檢查流量的安全解決方案
不輕信第三方API
即使外部API聲譽(yù)良好,企業(yè)也要在應(yīng)用程序和API中構(gòu)建防御和限制
Akamai:接棒API安全守護(hù)任務(wù)
四年間新舊OWASP十大API安全風(fēng)險(xiǎn)更迭已然明確�,當(dāng)下企業(yè)組織及其安全供應(yīng)商更需加強(qiáng)合作,在人員�、流程和技術(shù)之間密切配合,建立起新形勢(shì)下的堅(jiān)實(shí)防御體系��。
恰逢OWASP新榜發(fā)布之際����,Akamai收購(gòu)了Neosec API檢測(cè)和響應(yīng)平臺(tái)?��;趶?qiáng)強(qiáng)聯(lián)合,全新的Akamai Web應(yīng)用程序和API保護(hù)解決方案��,能夠幫助客戶獲得全域API的可見(jiàn)性��,及時(shí)評(píng)估風(fēng)險(xiǎn)并響應(yīng)漏洞和攻擊���。
健全的云安全產(chǎn)品矩陣����,也可以與Akamai Connected Cloud云平臺(tái)進(jìn)行聯(lián)動(dòng),每天從數(shù)百萬(wàn)次Web應(yīng)用程序攻擊�����、數(shù)十億個(gè)機(jī)器人請(qǐng)求和數(shù)萬(wàn)億個(gè)API請(qǐng)求中探查實(shí)時(shí)動(dòng)態(tài)����,提前展開(kāi)智能布防���。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
