OWASP 2019 年前 10 大 API 安全性報告
API(或稱應用程式介面)對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API,且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要,因此必須發佈 API 安全性的重要性,以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者(以及專案經理、安全性研究人員和教育人員)深入瞭解與 API 相關的最嚴重弱點,以及目前的安全性弱點。
重要性
API 的威脅趨勢會持續變更。API 會舖露應用程式邏輯和機密資料,例如個人識別資訊 (PII),因而成為了攻擊者的目標。這些因素會讓 API 更難以分析,而且會大幅變更威脅趨勢。為了跟上腳步,OWASP 組織在 2019 年 12 月 31 日發行了 OWASP 前 10 大 API 安全性報告,著重於透過策略和解決方案,來瞭解及降低 API 的唯一漏洞和安全性風險。OWASP 前 10 大 API 安全性漏洞
ID | 名稱 |
---|---|
API1 | 中斷的物件層次授權 |
API2 | 中斷的使用者鑑別 |
API3 | 過多的資料曝光 |
API4 | 缺少資源和速率限制 |
API5 | 中斷的物件層次授權 |
API6 | 大量指派 |
API7 | 不當安全配置 |
API8 | Injection |
API9 | 不當的資產管理 |
API10 | 記載和監視不足 |