什麼是 OWASP 十大 API 安全風險？

什麼是 OWASP 十大 API 安全風險？

開放式 Web 應用程式安全專案 (OWASP) 是一個非營利組織，其目標是促進 Web 應用程式安全性。OWASP 提供許多免費資源，以構建安全 Web 應用程式。

該組織被最廣泛引用的資源之一是 OWASP Top 10，其中列出了 Web 應用程式的十大安全問題。OWASP 還為應用程式設計介面 (API) 維護了一個單獨的類似清單，這對於支援大多數 Web 和行動體驗至關重要。

API 可以透過提供商業智慧、促進雲端部署和實現 AI 功能整合，為企業增強競爭優勢。但與此同時，API 可能會引入新的風險，因為它允許外部各方存取應用程式、共用資料和執行潛在敏感的工作流程。

本 OWASP API Security Top 10 最新發佈於 2023 年，強調了組織應解決的關鍵問題，以更好地保護其 API、應用程式和資料。該清單包括：

1. 物件層級授權失效：攻擊者可能會嘗試利用易受物件層級授權失效影響的 API 端點。他們可以操縱請求中的物件識別碼以獲得對敏感性資料的未經授權存取。
2. 驗證失效：如果驗證實施不正確，攻擊者可能冒充 API 使用者並獲得對機密資料的存取權限。
3. 物件屬性層級授權失效：物件屬性層級的授權缺失或授權驗證不當可能會導致資訊暴露，或容易受到未經授權人員的操縱。
4. 資源消耗不受限制：許多 API 不限制用戶端互動或資源消耗。攻擊者可能會產生大量的 API 呼叫，這會增加營運成本並導致阻斷服務。
5. 功能層級授權失效：攻擊者可能會將合法的 API 呼叫傳送到他們本應該無法存取的端點。他們可能會獲得對其他使用者的資源或管理功能的存取權限。
6. 對敏感業務流程的無限制存取：API 可能會暴露業務流程（例如在網站上發表評論、購買產品或進行預訂），讓攻擊者能夠過度執行該流程。
7. 伺服器端請求偽造：API 可能會在未驗證使用者提供的 URL 的情況下擷取遠端資源。例如，使用者可能會提供一個 URL，以將影像上傳到社交媒體平台。然後，該 URL 可能會在內部網路中啟動連接埠掃描。
8. 庫存管理不當：API 可能比傳統 Web 應用程式暴露更多端點。如果組織不清點主機和已部署的 API 版本，則可能會使已棄用的 API 版本和端點容易受到攻擊。
9. API 的不安全使用：攻擊者可能會針對與 API 互動的第三方服務，而不是直接針對 API。他們意識到開發人員通常更信任來自第三方 API 的資料，而不是使用者輸入。

要進一步瞭解這 10 個安全風險，請參閱 OWASP 的官方網頁。

OWASP Top 10 清單（按一下此處獲取完整清單）和 OWASP API Security Top 10 清單之間存在一些交叉。例如，存取控制失效是 OWASP Top 10 清單中的第一位，而 API 清單的前五個安全問題中也存在各種形式的驗證和授權失效。此外，安全設定錯誤和伺服器端請求偽造也同時出現在兩個清單中。

然而，與 Web 應用程式相比，API 確實存在一些獨特的風險。開發人員應同時考慮這兩個清單。

Cloudflare 如何協助應對 API 安全風險？

Cloudflare API Shield 透過 API 發現功能、集中式 API 管理和監控以及創新的分層防禦，幫助確保 API 安全並正常工作。API Shield 是 Cloudflare 應用程式安全產品組合的一部分，該產品組合提供了額外的功能，可在監控供應鏈攻擊的同時阻止機器人、DDoS 攻擊和應用程式攻擊。

瞭解 Cloudflare 功能如何應對 OWASP API Security Top 10 中詳述的特定風險，並探索 Cloudflare 的更多 API 安全解決方案。