OWASP 2019 年前 10 大 API 安全性報告

API(或稱應用程式介面)對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API,且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要,因此必須發佈 API 安全性的重要性,以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者(以及專案經理、安全性研究人員和教育人員)深入瞭解與 API 相關的最嚴重弱點,以及目前的安全性弱點。

重要性

API 的威脅趨勢會持續變更。API 會舖露應用程式邏輯和機密資料,例如個人識別資訊 (PII),因而成為了攻擊者的目標。這些因素會讓 API 更難以分析,而且會大幅變更威脅趨勢。為了跟上腳步,OWASP 組織在 2019 年 12 月 31 日發行了 OWASP 前 10 大 API 安全性報告,著重於透過策略和解決方案,來瞭解及降低 API 的唯一漏洞和安全性風險。

OWASP 前 10 大 API 安全性漏洞

ID 名稱
API1 中斷的物件層次授權
API2 中斷的使用者鑑別
API3 過多的資料曝光
API4 缺少資源和速率限制
API5 中斷的物件層次授權
API6 大量指派
API7 不當安全配置
API8 Injection
API9 不當的資產管理
API10 記載和監視不足