OWASP 最近公佈了 API Security Top 10 Release Candidate。閱讀更多關於 OWASP API 安全專案 的資訊。以下是前十名：API1 - 損壞的物件層級授權 API2- 損壞的使用者驗證 API3 - 過多的資料暴露 API4 - 缺乏資源& 速率限制 API5 - 損壞的功能層級授權 API6 - 大量指派 API7 - 安全性錯誤設定 API8 - 注入 API9 - 不當的資產管理 API10 - 記錄不足& 監控

概述

API（應用程式介面）是數位轉型策略的關鍵部分，而保護這些 API 的安全是首要挑戰。API 是一個快速成長的攻擊面，但尚未被廣泛了解，也可能被開發人員和應用程式安全管理員所忽略。

API 安全性

請參考OWASP API 安全專案："API 是現代行動、SaaS 和 Web 應用程式的重要部分，可在面向客戶、合作夥伴和內部應用程式中找到。就本質而言，API 會暴露應用程式邏輯和敏感資料，例如個人識別資訊 (PII)，因此逐漸成為攻擊者的目標。如果沒有安全的 API，快速創新是不可能的。

基於 API 的應用程式有何不同？

同樣來自 OWASP：

伺服器更多地用作資料的代理。
渲染元件是用戶端，而不是伺服器。
用戶端消耗原始資料。
API 會揭露應用程式的底層實作。
使用者的狀態通常由客戶端維護和監控。
每個 HTTP 請求會傳送更多參數 (物件 ID、篩選器)。

API 安全與一般應用程式安全有何不同？

API 安全性著重於降低 API 獨特安全風險的策略。傳統的漏洞在以 API 為基礎的應用程式中較不常見：

SQLi - 增加 ORM 的使用。
CSRF - 以授權標頭取代 cookies。
路徑操控 - 雲端儲存。
經典 IT 安全問題 - SaaS。

API 安全性為何重要？

API 安全性非常重要，因為企業使用 API 來連接服務和傳輸資料，因此 API 遭駭客入侵可能會導致資料外洩。

API 使用量持續增加

2021 年 12 月，Cloudflare 報告API 呼叫佔總要求的 54% ，從 2021 年 2 月到 12 月增加了 21% 。攻擊者已注意到這一點，並增加了對 API 的關注。

API 安全測試是 Gartner 應用程式安全測試 MQ 核心能力的一部分。

API 已經成為現代應用程式 (例如單一頁面或行動應用程式) 的重要部分，但傳統的 AST 工具集可能無法完全測試 API，因此需要專門的工具和功能。在開發和生產環境中發現 API 和測試 API 原始碼的能力，以及攝取記錄流量或 API 定義以支援執行中 API 測試的能力，都是典型的功能。

什麼是 OWASP API 安全性 TOP 10？

OWASP 最近公佈了 API Security Top 10 Release Candidate。閱讀更多關於OWASP API 安全專案的資訊。以下是前十名：

API1 - 破碎的物件層級授權
API2- 破壞的使用者驗證
API3 - 資料暴露過多
API4 - 缺乏資源& 速度限制
API5 - 破碎的功能層級授權
API6 - 大量指派
API7 - 安全設定錯誤
API8 - 射出
API9 - 資產管理不當
API10 - 記錄不足& 監控

Fortify 有助於 API 安全

使用 Fortify 的 API 安全性：

攻擊面覆蓋- 在測試期間自動發現新的和影子 API 端點，並使用 OpenAPI、Swagger、Odata 或 WSDL 結構描述來識別端點的廣度。
API 認證- API 認證多樣且複雜。Fortify 支援幾乎所有類型的不記名憑證和實作。
漏洞偵測- 不斷擴大的 API 特定漏洞涵蓋範圍，影響的領域包括記號或 GraphQL 內省。
掃描自動化- 透過 SaaS、託管或預設提供的企業級協調功能，擴大 API 測試的規模。

API 安全性

立即開始

了解更多