OWASP API 安全十大概述和最佳实践

强大的 API 安全措施对于保护数据未授权访问、操纵或泄露是必要的，以确保隐私并维护用户和利益相关者的信任，以及确保 API 的机密性、完整性和可用性。 API 安全的最佳实践包括：

• 实施强有力的身份验证和授权。 强制执行适当的授权检查，以确保经过身份验证的客户端具有访问特定资源或执行某些操作所需的权限。 使用细粒度的访问控制来限制对敏感 API 端点或数据以及相关对象和功能的访问。
• 验证输入和输出编码。 验证并清理从 API 客户端收到的所有输入以防止注入攻击，并对输出进行适当编码以防止执行恶意脚本。
• 使用安全通信。 采用安全协议在 API 客户端和服务器之间传输数据，并对传输中和静止的敏感信息进行加密，以确保数据的机密性和完整性。 
• 实施速率限制和节流。 强制限制 API 客户端在指定时间范围内可以发出的请求数量，以防止过度使用或未授权访问尝试，例如分布式拒绝服务 (DDoS)和暴力攻击。
• 定期进行安全测试和审计。 执行定期的安全评估、渗透测试和代码审查，以识别和解决 API 中的潜在漏洞，并进行安全审核以检测弱点并确保符合行业标准和规定。 由于 API 与底层框架和库的相互依赖，这一点尤为重要。
• 强制遵守架构和协议。 使用 OpenAPI 规范自动创建和实施积极的安全模型是确保一致的安全策略的有价值的工具。
• 动态发现并持续评估 API。 API 激增导致了一些无人问津或无人维护的 API，包括影子 API 。 安全控制需要使用零信任和最小特权访问范例不断盘点和保护 API，以减轻第三方相互依赖的不可预见的风险。 
• 全面的威胁检测。 API 容易受到各种威胁，包括漏洞、配置错误、机器人、欺诈和滥用，因此需要加以保护。

OWASP API 安全十大要点 – 2023 的制定旨在提高人们对常见 API 安全弱点的认识，并帮助开发人员、设计人员、架构师、经理以及其他参与 API 开发和维护的人员对 API 安全采取主动的方法。

2023 年 OWASP API 安全十大风险是：  

1. 对象级授权已损坏。 当应用未能正确执行对象或数据级别的访问控制时，就会出现此安全漏洞，从而允许攻击者操纵或绕过授权检查并授予对应用内特定对象或数据的未授权访问。 这可能是由于授权检查实施不当、缺乏适当的验证或绕过访问控制而发生的。 每个接收对象 ID 并对该对象执行任何操作的 API 端点都应实现对象级授权检查，以验证登录用户是否有权对请求的对象执行请求的操作。
2. 身份验证失败。 API 中的身份验证机制通常实施不正确，导致攻击者可以未授权访问用户帐户或敏感数据，或者执行未经授权的操作。 它通常是由于身份验证过程的实施或配置不当、密码策略薄弱、会话管理缺陷或身份验证工作流程中的其他弱点而引起的。 
3. 对象属性级别授权已损坏。 当 API 无法在对象属性级别正确执行访问控制和授权检查时，就会出现此威胁。 如果 API 端点暴露了被视为敏感且不应被用户读取的对象的属性，它就容易受到这些攻击，这种漏洞有时被称为过度数据暴露。 如果 API 端点允许用户更改、添加或删除敏感对象属性的值（这种攻击有时称为批量分配） ，那么它也容易受到这些攻击。
4. 不受限制的资源消耗。 这种攻击也称为资源耗尽，利用 API 实现中的弱点故意消耗过多的资源，例如 CPU、内存、带宽或其他系统资源。 这种拒绝服务 (DoS) 会降低 API 或底层系统的性能或可用性，并可能导致停机。  
5. 功能级别授权损坏。 当 API 未能在功能或操作级别正确执行授权检查时，就会出现此威胁，从而允许攻击者访问未经授权的功能。 实施适当的授权检查可能会令人困惑，因为现代应用可以定义多种类型的功能角色和组，并涉及攻击者可以操纵的复杂用户层次结构。 
6. 不受限制地访问敏感业务流。 当 API 缺乏适当的访问控制或授权检查时，就会发生这种攻击，从而使攻击者能够自动访问由 API 支持的敏感业务流程。这些业务流程可能支持大量购买高价值、低库存的产品（例如门票或运动鞋），这些产品可以在二级市场上加价转售。 攻击者经常使用复杂的自动化工具包重新调整攻击，如果目标的 Web 应用程序受到反自动化防御的充分保护，他们可能会转向 API 背后的目标业务逻辑。  
7. 服务器端请求伪造（SSRF）。 当攻击者识别出接受用户提供的 URL 或对外部资源执行服务器端请求的易受攻击的 API 端点时，就会出现此漏洞。 攻击者精心设计恶意请求，指定其想要攻击的内部资源或系统的 URL。 服务器没有意识到恶意意图，向指定的 URL 执行服务器端请求，可能会暴露敏感信息或服务。 
8. 安全配置错误。 攻击者试图找到未修补的漏洞、常见端点、以不安全的默认配置运行的服务或未受保护的文件和目录，以获取对 API 的未授权访问权限。当 API 堆栈的任何级别（从网络到应用级别）缺乏适当的安全强化，或者云服务的权限配置不当时，都可能导致此漏洞。 配置错误会影响 Web 应用程序和 API，而且随着架构不断分散并分布在多云环境中，风险也会越来越大。
9. 库存管理不当。 API 会随着时间的推移而发生变化和更新，但过时或不安全的 API 版本可能仍在生产中，或者较旧的端点可能未打补丁地运行或使用较弱的安全要求，从而增加了安全漏洞的风险。 缺乏适当的库存管理使得很难追踪哪些版本正在使用、哪些版本已经过时或弃用以及哪些漏洞已得到解决。 影子 API 和僵尸 API 带来了巨大的风险，凸显了持续发现和自动保护的重要性。  
10. 不安全地使用 API。 开发人员倾向于信任从第三方 API 接收的数据，尤其是知名公司提供的 API，并在输入验证和清理或传输安全方面对这些数据采用较弱的安全要求。 当通过不安全的协议访问 API 或未使用适当的加密机制时，也会发生不安全的消费，从而导致窃听、数据拦截和未授权访问敏感信息。