API 在现代应用架构中发挥着至关重要的作用,而这个 OWASP 项目专注于提高对常见 API 安全漏洞的认识。
OWASP (开放全球application安全项目)列出十大 API 安全风险的目标是教育参与 API 开发和维护的人员并提高对常见 API 安全漏洞的认识。 API 越来越成为攻击者的目标,而 OWASP 的 API 安全项目专注于了解和减轻与 API 相关的特有漏洞和安全风险的策略和解决方案。
API(应用编程接口)是现代应用开发的基础,因为它们促进了应用与其他应用、服务或平台进行通信和交换数据的能力。 API 是应用程序现代化战略的关键部分,也是移动应用程序的基础。 它们使企业能够轻松地与外部平台和第三方服务集成,并通过连接各种组件来构建全面的解决方案。 这促进了应用程序开发的模块化方法,使开发人员能够利用现有的服务和功能,促进代码重用,加快开发周期并提高生产力。
API 还扩大了风险面,并且由于跨多云架构的相互依赖性质,特别引入了不可预见的风险。 与 Web 应用程序一样,API 容易受到漏洞利用、自动威胁滥用、拒绝服务、错误配置以及绕过身份验证和授权控制的攻击。
从本质上讲,API 会暴露关键的业务逻辑和敏感信息,例如用户数据、身份验证凭据和金融交易,并且越来越成为攻击者的目标;尤其是登录、创建帐户、添加到购物车和转账功能。 API 可以成为攻击者利用漏洞或弱点或暴露底层基础设施和资源的入口点。
强大的 API 安全措施对于保护数据未授权访问、操纵或泄露是必要的,以确保隐私并维护用户和利益相关者的信任,以及确保 API 的机密性、完整性和可用性。 API 安全的最佳实践包括:
OWASP API 安全十大要点 – 2023 的制定旨在提高人们对常见 API 安全弱点的认识,并帮助开发人员、设计人员、架构师、经理以及其他参与 API 开发和维护的人员对 API 安全采取主动的方法。
2023 年 OWASP API 安全十大风险是:
F5 支持 OWASP 基金会及其对提高软件安全性和提高多层次人们对 Web应用安全风险和漏洞的认识的贡献。 事实上,应用程序和 API 都存在一些共同的安全风险,在实施安全解决方案时需要考虑。 例如:
随着应用程序的发展和 API 部署的增加,F5 提供解决方案来保护不断扩大的攻击面和新出现的威胁,从而解决 OWASP API 安全十大风险中确定的风险。 F5 Webapplication和 API 保护 (WAAP) 解决方案通过全面的保护来防御整个现代应用程序攻击面,这些保护包括 WAF、 API 安全、L3-L7 DDoS 缓解以及针对自动威胁和欺诈的机器人防御。 分布式平台让您可以轻松地在整个应用程序和 API 中部署一致的策略和扩展安全性,无论它们托管在何处,并将保护措施集成到 API 生命周期和更广泛的安全生态系统中。
F5 提供混合安全架构,可从核心到云再到边缘持续不断地保护应用程序和 API。 F5 解决方案使用威胁情报、基于 ML 的安全性和零信任原则动态发现并自动保护 API 背后的关键业务逻辑,提供在 API 驱动的数字经济中竞争所需的弹性和敏捷性。
F5 Web应用防火墙解决方案还可以阻止和缓解OWASP Top 10(一份得到广泛认可的最关键 Web应用安全风险列表)所确定的各种风险。 API 与 Web 应用程序一样,容易受到错误配置和自动威胁,并且可能成为漏洞利用、SSRF 以及试图绕过身份验证和授权控制的攻击的目标。 F5 WAF 解决方案结合了签名和行为保护,包括来自 F5 实验室的威胁情报和基于 ML 的安全性,以跟上新兴威胁;它们还可以与专门的机器人防御控制相结合。
这些解决方案减轻了在云、本地和边缘环境中一致保护应用的负担和复杂性,同时通过集中式 SaaS 基础设施简化了管理。 F5 WAF 还通过将保护措施集成到具有核心安全功能、集中编排和监督的开发框架和 CI/CD 管道中,通过单个仪表板简化了应用程序安全性,该仪表板可以 360 度查看跨分布式应用的应用程序性能和安全事件。
F5 还提供解决方案来应对OWASP 的 Webapplications自动威胁项目中概述的风险。 F5 分布式云机器人防御可防止绕过现有机器人管理解决方案的欺诈和滥用,并提供实时监控和情报以及基于 ML 的回顾性分析,以保护组织免受自动攻击,而不会带来用户摩擦或破坏客户体验。 无论攻击者如何重组,无论攻击从 Web 应用程序转向 API,还是试图通过欺骗遥测或使用人工 CAPTCHA 求解器来绕过反自动化防御,分布式云机器人防御都能保持有效性。
F5 还提供多层 DDoS 保护以实现高级在线安全,作为一种托管的、云交付的缓解服务,可以实时检测和缓解大规模网络、协议和应用程序攻击;本地硬件、软件和混合解决方案也可以提供相同的保护。 F5 分布式云 DDoS 缓解功能可在容量和特定于应用程序的 3-4 层攻击以及高级 7 层攻击到达您的网络基础设施和应用之前防御这些攻击。