從表面上看,很明顯其中一些漏洞占據了相同的位置��,但有一些漏洞進行了更新�、更改或合并。讓我們回顧一下 2023 年列表中的每個漏洞�,并查看其 2019 年的歷史記錄�����。
風險1:損壞的對象級授權(未更改)
損壞的對象級授權(縮寫為BOLA)自 2019 年以來一直排名第一���。這種攻擊通常是由于對象級授權不當而發生的��。這為黑客提供了更大的攻擊面��,因為處理對象標識符的端點暴露在黑客面前。
2021 年���,Microsoft Exchange 遭受了 BOLA 攻擊。通過利用此漏洞���,黑客繞過了一些訪問控制點,并能夠訪問存儲在 Microsoft Exchange 服務器中的敏感信息�����。這些數據包括用戶憑據和電子郵件通信。此次攻擊影響了全球數萬家公司�����。
可以通過以下方式減輕此 API 安全風險:
- 在每個接入點實施強大的身份驗證和授權協議
- 定期進行安全審計
- 監控和記錄 API 活動
風險2:身份驗證中斷(已更新)
2019 年以來�,身份驗證漏洞也一直排在第二位。此漏洞唯一的變化是其名稱���。在OWASP 2019 API 安全風險列表中,它被稱為“用戶身份驗證漏洞”�。近年來���,攻擊的性質一直沒有改變�����。
如果身份驗證過程設計不當,黑客可以使用多種方式�����,包括憑證填充��、非散列密碼、暴力破解和會話劫持來攻擊 API 并訪問敏感數據。
2015 年��,Dunkin’ Donuts 因遭受暴力攻擊而登上新聞頭條���。攻擊者瞄準了其數字客戶賬戶�����。他們利用之前泄露和竊取的客戶信息�,并運行暴力算法����。黑客利用客戶忠誠度應用程序訪問了超過 19,000 個賬戶并竊取了數以萬計的獎勵現金。
可以通過以下方式緩解此 API 安全風險
- 使用安全存儲來存儲憑證
- 引入強密碼策略
- 經常進行安全測試
- 實施多因素身份驗證
風險3:損壞的對象屬性級別授權(已更新)
OWASP 2019 安全風險列表中的過度數據暴露被 OWASP 2023 安全風險列表中的對象屬性級別授權損壞所取代��。此漏洞是過度數據暴露和批量分配的組合���,在 2019 年列表中分別排名第三和第六位�。
當允許用戶訪問任何 API 端點時,驗證用戶是否有權訪問特定對象屬性非常重要�。如果在此級別無法進行適當的身份驗證�����,敏感數據可能會暴露給攻擊者。
Twitter 已成為利用破壞的對象屬性級授權漏洞進行攻擊的受害者。這家社交媒體巨頭提供了一個 API�,允許將 Twitter ID 交換為關聯的電子郵件地址和電話號碼���。然而���,這種做法引發了對過度數據暴露的擔憂����,因為獲取 Twitter ID 可以進一步用于獲取用戶信息�����。這家社交媒體公司于 2022 年 8 月發布聲明稱,該漏洞是其漏洞賞金計劃于 2022 年 1 月發現的。然而��,一名攻擊者在 2022 年 7 月利用了此漏洞��,并提出出售這些數據����。
可以通過以下方式減輕此 API 安全風險:
- 在提供對對象屬性的訪問權限之前驗證用戶權限
- 實施適當的授權檢查
- 監視和記錄對象屬性訪問
風險4:不受限制的資源消耗(更新)
在 OWASP 2019 API 漏洞中被稱為資源不足和速率限制�,現在在OWASP的 2023 API 風險列表中被稱為無限制的資源消耗。前者僅關注漏洞,而后者談論的是忽視適當的速率限制和資源使用限制的后果。
通過利用此 API 漏洞�,攻擊者可以使用拒絕服務 (DoS) 攻擊耗盡目標系統的資源����。他們向目標 API 發送大量請求���,這可能會導致系統不可用或不穩定。波蘭的主要稅務門戶網站最近遭受了 DDoS 攻擊。攻擊者瞄準了支持中央稅務服務背后 API 的資源�����。因此���,服務器幾個小時都無法使用�����。
可以通過以下方式緩解此 API 安全風險
- 監控和分析資源使用情況
- 進行輸入驗證和清理
- 實施節流和速率限制
風險5:功能級別授權損壞(未更改)
此漏洞在 OWASP 2019 和 2023 API 安全風險列表中均位列第五�。當允許用戶執行必須僅允許管理員執行的任務時����,就會利用損壞的功能級別授權漏洞����。當用戶的分層權限系統未正確集成時,就會發生這種情況。
2022 年 9 月的 Optus 數據泄露事件是由于公開暴露且未受保護的 API 造成的�。此次攻擊是由三個主要安全漏洞引起的���。首先��,他們有面向公眾的 API。其次�,這些 API 可以輕松訪問敏感的客戶數據����。最后�,客戶 ID 的分配方式很具罪證。該漏洞被利用了大約三個月���,導致 980 萬客戶的數據存在泄露風險。
可以通過以下方式緩解此 API 安全風險
- 使用基于角色的訪問控制
- 定期檢查訪問控制策略
- 在所有 API 端點上實施強大的授權檢查
風險6:不受限制地訪問敏感業務流(新)
在 OWASP 2019 API 安全風險列表中�,Mass Assignment 排名第六����。然而���,它在 2023 年被“對敏感業務流程的無限制訪問”所取代���。每家公司都有自己的業務流程��。使用提供對這些敏感業務流程的過度訪問權限的 API 可能會讓攻擊者識別工作流中的漏洞并破壞其正常運行�����。
網絡安全公司賽門鐵克也因該漏洞而遭受攻擊�����,攻擊者利用經銷商業務邏輯中的訪問控制�。他們泄露了私鑰�,導致 20,000 個 SSL 證書被撤銷。
可以通過以下方式緩解此 API 安全風險
- 實施強大的API 身份驗證和授權
- 識別和分類 API 中的敏感業務流程
- 向用戶提供執行任務所需的最低限度的權限
- 頻繁監控API訪問日志
風險7:服務端請求偽造(新)
服務器端請求偽造 (SSRF) 已取代安全配置錯誤����,從 2019 年 API 安全風險列表中排名第七��。當攻擊者可以操縱服務器端的請求,從而訪問內部資源并進一步從事惡意活動時���,就會發生這種攻擊。
美國銀行控股公司 CapitalOne 在 2019 年成為 SSRF 的受害者����?�;A設施中存在漏洞以及糟糕的安全措施是此次攻擊的主要原因。攻擊者泄露了超過 1 億條客戶記錄���。
可以通過以下方式緩解此 API 安全風險
- 驗證服務器端請求中使用的用戶輸入
- 通過實施嚴格的訪問控制來限制可以訪問 API 端點的請求
- 實施強大的防火墻配置來限制對內部系統的訪問。
- 監控并記錄服務器端請求
風險8:安全配置錯誤(未更改)
注入攻擊在 OWASP 2019 年 API 安全風險中排名第八���,之前排名第七的安全配置錯誤取代了注入攻擊。顧名思義,當 API 配置不安全時就會發生這種風險����,這可能會導致潛在的安全漏洞和漏洞�。這可能涉及默認設置、未受保護的敏感信息���、冗余功能和不良的訪問限制,攻擊者可以利用這些來獲取未經授權的訪問��、泄露數據或中斷服務�����。
協作工具 JIRA 存在安全配置錯誤,導致許多大型公司的個人和公司數據容易受到攻擊�����。攻擊空間是由于 Global Permissions 中的授權配置錯誤而產生的���。
可以通過以下方式緩解此 API 安全風險
- 定期更新和修補所有軟件組件
- 將訪問權限限制為 API 操作所必需的權限
- 實施正確的輸入驗證和 CORS 配置
- 經常檢查和更新 API 配置
風險9:庫存管理不當(已更新)
不當庫存管理(在 OWASP 2019 年列表中也稱為不當資產管理)是指未對 API 進行盤點或正確管理��,從而產生多個盲點和更大的攻擊面��。它可以暴露業務邏輯和資源,從而產生更多漏洞。
2022 年 9 月����,澳大利亞電信公司 Optus 因庫存管理不當而遭受攻擊���。攻擊者瞄準了用于管理客戶帳戶的 API�,該 API 使他們能夠訪問有關客戶的關鍵信息���,包括姓名����、電話號碼和地址。由于 API 管理不當����,該漏洞未被發現�,危及了數千名客戶的敏感信息����。
可以通過以下方式緩解此 API 安全風險
- 實施庫存管理系統
- 進行頻繁審計以驗證庫存的準確性
- 停用未使用的 API 以減少攻擊面
風險10:不安全的 API 使用(新)
OWASP 2023 API 安全風險列表中�,不安全的 API 使用已取代日志記錄和監控不足。如果從外部 API 收到的數據未經驗證和清理,則可能會出現此漏洞��。當 API 遵循不安全的重定向���、盲目支持第三方集成并信任所有傳入數據而未進行適當驗證時���,就會發生通過不安全的 API 使用進行的攻擊�。
Log4Shell 漏洞是最新和最著名的不安全使用 API 的例子之一。Apache Log4j 日志庫在全球范圍內廣泛使用����,它允許用戶通過 API 控制輸入進行無限制訪問��。代碼中的漏洞允許用戶在托管應用程序的服務器上運行任意代碼。攻擊者可以通過在請求中發送惡意代碼來利用此漏洞�。
可以通過以下方式緩解此 API 安全風險
- 實施嚴格的輸入驗證和清理流程
- 使用安全通信協議
- 使用 API Gateway 監控和記錄 API 通信
總之,OWASP 2023 API 安全風險列表主要傾向于控制訪問�����。如果我們觀察,我們會注意到四個風險集中在提供訪問權限上,其中三個傾向于限制訪問權限��,其余三個則涉及安全地設置 API 以及驗證和清理傳入的請求。
技術日新月異,但網絡犯罪分子的技術也日新月異。始終領先于攻擊者才是明智之舉��。
文章來源:Comparing 2019 and 2023 OWASP Top 10 API Security Risks
我們有何不同?
API服務商零注冊
多API并行試用
數據驅動選型����,提升決策效率
查看全部API→
