OWASP 最近公布了 API 安全十大候选发布版本。了解有关 OWASP API 安全项目的 更多信息。以下是前 10 名：API1 - 破损的对象级授权 API2- 破损的用户身份验证 API3 - 过度的数据暴露 API4 - 缺乏资源& 速率限制 API5 - 破损的功能级授权 API6 - 批量分配 API7 - 安全配置错误 API8 - 注入 API9 - 不当的资产管理 API10 - 记录不足& 监控

概述

应用程序接口（API）是数字化转型战略的关键组成部分，而确保这些应用程序接口的安全则是首要挑战。应用程序接口是一个快速增长的攻击面，但并没有得到广泛的理解，开发人员和应用程序安全管理人员可能会忽视它。

应用程序接口安全

请听OWASP API 安全项目的介绍："应用程序接口是现代移动、SaaS 和网络应用的重要组成部分，在面向客户、合作伙伴和内部应用中都能找到。从本质上讲，应用程序接口暴露了应用逻辑和敏感数据，如个人身份信息 (PII)，因此日益成为攻击者的目标。没有安全的应用程序接口，就不可能实现快速创新。

基于应用程序接口的应用程序有何不同？

同样来自 OWASP：

服务器更多地被用作数据的代理。
渲染组件是客户端，而不是服务器。
客户端消耗原始数据。
应用程序接口揭示了应用程序的底层实现。
用户状态通常由客户端维护和监控。
每个 HTTP 请求都会发送更多参数（对象 ID、过滤器）。

API 安全与一般应用程序安全有何不同？

应用程序接口安全》侧重于降低应用程序接口独特安全风险的策略。传统漏洞在基于应用程序接口的应用程序中并不常见：

SQLi - 越来越多地使用 ORM。
CSRF - 以授权标头代替 cookie。
路径操作 - 基于云的存储。
经典 IT 安全问题 - SaaS。

API 安全性为何重要？

API 安全非常重要，因为企业使用 API 连接服务和传输数据，因此 API 被黑客攻击可能导致数据泄露。

应用程序接口使用率持续上升

2021 年 12 月，Cloudflare 报告称，API 调用占总请求的 54% ，从 2021 年 2 月到 12 月增加了 21% 。攻击者已经注意到这一点，并加强了对应用程序接口的关注。

API 安全测试是 Gartner 应用程序安全测试 MQ 核心功能的一部分。

API 已成为现代应用程序（如单页面或移动应用程序）的重要组成部分，但传统的 AST 工具集可能无法对其进行全面测试，因此需要专门的工具和功能。典型的功能包括在开发和生产环境中发现应用程序接口，测试应用程序接口源代码，以及摄取记录的流量或应用程序接口定义，以支持对运行中的应用程序接口进行测试。

什么是 OWASP API 安全 10 强？

OWASP 最近公布了 API 安全十大候选发布版本。了解有关OWASP API 安全项目的更多信息。以下是前十名：

API1 - 受破坏的对象级授权
应用程序接口2- 用户身份验证被破坏
API3 - 数据暴露过多
API4 - 缺乏资源& 速度限制
API5 - 功能级授权被破坏
API6 - 批量分配
API7 - 安全配置错误
API8 - 注射
API9 - 资产管理不当
API10 - 记录不足& 监控

Fortify 帮助保障应用程序接口安全

使用 Fortify 实现 API 安全：

攻击面覆盖范围- 在测试过程中自动发现新的和影子 API 端点，并通过 OpenAPI、Swagger、Odata 或 WSDL 架构识别端点的范围。
应用程序接口认证--应用程序接口认证多种多样，非常复杂。Fortify 支持几乎所有类型的不记名令牌和实现方式。
漏洞检测- 不断扩大 API 特定漏洞的覆盖范围，这些漏洞会影响不记名令牌或 GraphQL 自省等领域。
扫描自动化- 利用通过 SaaS、托管或预置交付的企业级协调功能扩展 API 测试。

应用程序接口安全

立即开始

了解更多信息