开放式 Web 应用程序安全项目 (OWASP) 汇总了应用程序编程接口 (API) 的最大安全风险列表。
阅读本文后,您将能够:
复制文章链接
开放式 Web 应用程序安全项目 (OWASP) 是一个非营利组织,其目标是促进 Web 应用程序安全性。OWASP 为任何想要构建安全 Web 应用程序的人提供许多免费资源。
他们最广泛引用的资源之一是 OWASP Top 10,它列出了 Web 应用程序的十大安全问题。
OWASP 还为应用程序编程接口 (API) 维护了一个单独的类似列表,API 是大多数 Web 应用程序的关键构建块。此列表是“OWASP API 十大安全风险”。
截至 2019 年*,OWASP API 十大安全风险包括:
*截至 2021 年 12 月,该列表自 2019 年以来未更新。
想要更深入地了解这 10 个安全风险,请参阅 OWASP 的官方网页。
OWASP Top 10 列表(此处为完整列表)和 OWASP API 十大安全风险列表之间存在一些交叉。例如,注入、失效的身份验证以及日志记录和监控不足都出现在两者中。但是,与 Web 应用程序相比,API 存在的风险略有不同。开发人员应该同时考虑这两个列表。
Cloudflare API Shield 使用分层 API 防御来防御各种针对 API 的攻击。其中的功能包括数据丢失防护(针对 1 号和 3 号风险)、双向 TLS(针对 2 号风险)和速率限制(针对 4 号风险)。请参阅 Cloudflare API Shield 页面上的完整功能列表。
要了解有关 API 安全的更多信息,请阅读什么是 API 安全?