API 在现代应用架构中发挥着关键作用,这一 OWASP 项目侧重于引发对常见 API 安全漏洞的认识。
OWASP(开放式 Web 应用程序安全项目)编写十大 API 安全风险列表的目的是为了给 API 开发和维护人员提供相关信息,并加强对常见 API 安全弱点的认识。越来越多的攻击者将 API 视为攻击对象,而 OWASP 的 API 安全项目就将重点放在策略和解决方案层面,从而掌握与 API 相关的独特漏洞和安全风险并予以缓解。
API(应用编程接口)是开发现代应用的基础,因为它们有利于提升应用与其他应用、服务或平台进行通信和交换数据的能力。API 是应用现代化策略的关键组成部分,也是移动应用的基础。它们让企业能够轻松与外部平台和第三方服务集成,并通过连接各种组件构建全面的解决方案。由此便催生出一种模块化方法来开发应用,让开发人员能够利用现有服务和功能、促进代码重用、缩短开发周期并提高生产力。
API 同时会扩大风险面,会专门引入不可预见的风险,原因在于它们在多云架构中具有相互依赖性。与 Web 应用一样,API 也容易受到漏洞利用、自动威胁的滥用、拒绝服务、错误配置以及绕过身份验证和授权控制的攻击。
就本质而言,API 会泄露关键业务逻辑和敏感信息(如用户数据、身份验证凭据和金融交易),并且将其视为目标的攻击变得愈发频繁,特别是登录、创建帐户、添加到购物车和转账功能。API 可以成为攻击者试图利用漏洞或弱点,或泄露底层基础设施和资源的切入点。
完善的 API 安全措施必不可少,如此可以保护数据免受未经授权的访问、操纵或泄露,从而确保隐私且维持用户和利益相关者的信任,同时还可以确保 API 的机密性、完整性和可用性。API 安全最佳实践包括以下内容:
2023 年 OWASP 十大 API 安全风险旨在加强对常见 API 安全漏洞的认识,并帮助开发人员、设计师、架构师、经理和其他参与 API 开发和维护的人员采用一种主动的方式来保护 API 的安全。
2023 年 OWASP 十大 API 安全风险具体如下:
F5 与 OWASP基金会站在同一阵营,且支持其致力于提高软件安全性,并在多个层面提高对 Web 应用安全风险和漏洞认识的这一宗旨。其实应用和 API 面临着同样的安全风险,在实施安全解决方案时需要考虑这些风险,例如:
F5 的解决方案可以缓解 OWASP 十大 API 安全风险,并且这些解决方案可以随着应用的发展和 API 部署的增加,保护不断扩大的攻击面和新兴威胁。F5 Web 应用和 API 防护 (WAAP) 解决方案通过 WAF、API 安全、L3 到 L7 DDoS 缓解以及针对自动化威胁和欺诈的 Bot 防御在内的全方位保护措施来防御现代应用的整个攻击面。无论托管位置如何,分布式平台都可以轻松在整个应用和 API 资产中部署一致的策略和扩展安全性,并将保护措施集成到 API 生命周期和更广泛的安全生态系统中。
F5 提供混合安全架构,可始终如一地持续保护从核心到云再到边缘的应用和 API。F5 解决方案使用威胁情报、基于机器学习的安全和零信任原则,动态发现并自动保护 API 背后的关键业务逻辑,提供必要的弹性和敏捷性,助力在以 API 为动力的数字经济中占据竞争优势。
F5 Web 应用防火墙解决方案还可以阻止和缓解 OWASP Top 10(得到广泛认可的最关键 Web 应用安全风险列表)中所提及的更多风险。API(如 Web 应用)容易受到错误配置和自动化威胁的影响,并可能成为漏洞利用、SSRF 和试图绕过身份验证和授权控制攻击的目标。F5 WAF 解决方案会结合规则和行为保护,包括来自 F5 Labs 的威胁情报和基于机器学习的安全措施,从而有效防范新兴威胁;这些解决方案还可以与专门用于 Bot 防御的控制措施进行集成。
这些解决方案减轻了在云、本地和边缘环境中持续保护应用所带来的负担和复杂性,同时通过集中式 SaaS 基础设施简化管理。F5 WAF 还可以将保护措施集成到开发框架和 CI/CD 流水线中,并提供核心安全功能、集中协调,以及通过单一仪表板对分布式应用的应用性能和安全事件进行 360 度全方位监控,从而简化应用安全保护。
F5 还提供解决 OWASP 对 Web 应用的自动化威胁项目中概述的风险。F5 分布式云 Bot 防御能够防止可绕过现有 Bot 管理解决方案的欺诈和滥用,并提供实时监控和情报以及基于机器学习的回顾性分析,从而保护组织免受自动化攻击,不会对用户造成干扰或阻碍客户体验。无论攻击者如何调整,无论攻击是从 Web 应用转向 API,还是试图通过伪造遥测数据或使用人工 CAPTCHA 识别器来绕过反自动化防御措施,分布式云 Bot 防御都能提供有效的御防。
F5 还可以针对高级的线上安全提供多层 DDoS 防护,作为一种云交付型托管式缓解服务,可实时检测并缓解大规模网络、协议和以应用为目标的攻击;同样的防护也可以作为本地硬件、软件和混合解决方案的形式进行使用。F5 分布式云 DDoS 缓解可在容量耗尽攻击和特定于应用第 3 到第 4 层及高级的第 7 层攻击到达网络基础设施和应用之前,便对其进行防御。