OWASP API Security Top 10 2019 报告

对各个行业的企业而言,API(应用程序编程接口)都是重要的工具。由于 API 在许多领域的使用日渐增多,而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分,因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户(以及项目经理、安全研究人员和培训人员)洞察当前最严重的 API 相关安全漏洞。

它为什么重要

API 的威胁格局在不断发生变化。API 会暴露应用程序逻辑和个人可识别信息 (PII) 等敏感数据,因此成为攻击者的目标。这些因素使得 API 更加难以分析,并会明显改变威胁格局。为了跟上形势,OWASP 组织于 2019 年 12 月 31 日发布了 OWASP API Security Top 10 报告,该报告将重点放在旨在了解和缓解 API 独有漏洞和安全风险的策略和解决方案上。

OWASP API Security Top 10 漏洞

ID 名称
API1 失效的对象级别授权
API2 失效的用户认证
API3 过度的数据暴露
API4 缺乏资源和速率限制
API5 失效的功能级别授权
API6 批量分配
API7 安全性错误配置
API8 注入
API9 资产管理不当
API10 记录和监控不足