2023 年 OWASP API 安全 10 強報告

API(或稱應用程式介面)對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API,且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要,因此必須發佈 API 安全性的重要性,以及相較於 Web 應用程式的特殊漏洞。

重要性

API 的威脅趨勢會持續變更。API會舖露應用程式邏輯和機密資料,例如個人識別資訊 (PII),因而成為了攻擊者的目標。為了跟上步伐,OWASP 組織提出了 OWASP API 安全十大報告,重點是了解和減輕 API 的獨特漏洞和安全風險的策略和解決方案。

OWASP 前 10 大 API 安全性漏洞

ID 名稱
API1 中斷的物件層次授權
API2 身份驗證被破壞
API3 損壞的物件屬性等級授權
API4 資源消耗不受限制
API5 中斷的物件層次授權
API6 無限制存取敏感業務流程
API7 伺服器端請求偽造
API8 不當安全配置
API9 庫存管理不當
API10 API 的不安全使用