OWASP API Security Top 10 2019 报告
对各个行业的企业而言,API(应用程序编程接口)都是重要的工具。由于 API 在许多领域的使用日渐增多,而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分,因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户(以及项目经理、安全研究人员和培训人员)洞察当前最严重的 API 相关安全漏洞。
它为什么重要
API 的威胁格局在不断发生变化。API 会暴露应用程序逻辑和个人可识别信息 (PII) 等敏感数据,因此成为攻击者的目标。这些因素使得 API 更加难以分析,并会明显改变威胁格局。为了跟上形势,OWASP 组织于 2019 年 12 月 31 日发布了 OWASP API Security Top 10 报告,该报告将重点放在旨在了解和缓解 API 独有漏洞和安全风险的策略和解决方案上。OWASP API Security Top 10 漏洞
ID | 名称 |
---|---|
API1 | 失效的对象级别授权 |
API2 | 失效的用户认证 |
API3 | 过度的数据暴露 |
API4 | 缺乏资源和速率限制 |
API5 | 失效的功能级别授权 |
API6 | 批量分配 |
API7 | 安全性错误配置 |
API8 | 注入 |
API9 | 资产管理不当 |
API10 | 记录和监控不足 |