開放式 Web 應用程式安全專案 (OWASP) 彙總了應用程式程式設計介面 (API) 的最大安全風險清單。
閱讀本文後,您將能夠:
複製文章連結
開放式 Web 應用程式安全專案 (OWASP) 是一個非營利組織,其目標是促進 Web 應用程式安全性。OWASP 為任何想要構建安全 Web 應用程式的人提供許多免費資源。
他們最廣泛引用的資源之一是 OWASP Top 10,其中列出了 Web 應用程式的 10 大安全問題。
OWASP 還為應用程式程式設計介面 (API) 維護了一個單獨的類似清單,API 是大多數 Web 應用程式的關鍵構建塊。此清單是「OWASP API Security Top 10(OWASP API 十大安全風險)」。
截至 2019 年*,OWASP API 十大安全風險包括:
*截至 2021 年 12 月,該清單自 2019 年以來未更新。
想要更深入地瞭解這 10 個安全風險,請參閱 OWASP 的官方網頁。
OWASP Top 10 清單(此處為完整清單)和 OWASP API 十大安全風險清單之間存在一些交叉。例如,插入、失效的驗證以及記錄和監控不足都出現在兩者中。但是,與 Web 應用程式相比,API 存在的風險略有不同。開發人員應該同時考慮這兩個清單。
Cloudflare API Shield uses layered API defenses to protect against a variety of API-directed attacks. Among the features included are data loss prevention (counteracts risks Nos. 1 and 3), mutual TLS (risk No. 2), and rate limiting (risk No. 4). See the full list of features on the Cloudflare API Gateway page.
要瞭解有關 API 安全的更多資訊,請閱讀什麼是 API 安全性?