2023年6月,OWASP非营利安全组织对2019年发布的十大API安全风险进行了首次重大更新。新拟议的榜单重点强调了授权问题,在前五大攻击中占据四席。
要想探明API攻击趋势,小迈先带您回顾一下四年前的API漏洞榜单,看看“初代目”安全杀手作案手法,以便和今日现状对比,有针对性地保护API安全。
OWASP榜单风向一
两大安全杀手“合体”
当我们的目光顺着新旧榜单浏览时,会发现OWASP将以前的过度数据暴露和批量分配合并为新的对象属性级别授权失效(BOPLA)。值得关注的根本原因为对象属性级别授权验证失败。
新旧榜单对比
相比对象级别授权失效(BOLA)指向整个对象,BOPLA则指向对象内部的属性,会深入查看对象属性级别,生成过度共享信息或允许修改或删除特定属性的额外风险。
BOPLA指对象内部的属性
OWASP榜单风向二
SSRF:更常见、更危险
当下,注入攻击本质上已属于安全配置错误。正确的安全配置会包括Web应用程序和API保护机制,默认情况下应扫描并防止注入。在新榜单中,注入安全风险被剔除后,服务端请求伪造(SSRF)成了新面孔。SSRF会允许攻击者从服务器向其他内外部系统,发出未经授权的请求。
SSRF上榜的潜在原因
更常见
API更容易受到SSRF攻击,是因为对数字化技术的依赖,如Kubernetes和Docker依赖于HTTPS API基础上的通信协议。
更危险
借助Webhooks、SSO集成,以及经API端点获取/重定向URL文件等技术,威胁参与者有机会应用SSRF。
OWASP榜单风向三
资源风险警钟长鸣
资源方面,2019年的“资源访问无限制”威胁,侧重于导致API端点不堪重负相关风险,而在2023年,四号位安全杀手已经转向为“未受限制的资源消耗”。
今天的API端点,更需要高可用性,而实施API网关、负载平衡或提供速率限制相关控制,正是朝着正确方向迈出的一步。面对第三方集成趋势,此项更新旨在提高企业安全团队与公众的API认知。
OWASP榜单风向四
截流企业经营利润
在2023年新增的安全漏洞中,不受限访问敏感业务,是侵蚀企业利润的直接威胁。因为攻击者的思考模式,即是专注于潜在收益在业务流的具体位置。此类安全风险,会因企业API端点支持的业务逻辑而有所差异。
相关API风险示例
例如,在吸引流量方面,流媒体服务平台会为分享信用卡信息的新用户,提供30天免费试用。表面来看,业务逻辑只是查看新注册的唯一电子邮件地址。但在漏洞下,新电子邮件地址可以使用相同的信用卡信息轻松访问新的试用版,导致每月创建新帐户的用户,无限期免费使用。
OWASP榜单风向五
API的不安全使用
2023新榜单的第十大安全杀手,定位为“API的不安全使用”。第三方API应用中,API经常要与不同的内部和第三方服务集成和通信。安全边界的拓展会让检测漏洞与主动防御变得更加复杂,因此遵循基本安全规则十分必要。
OWASP相关建议
严格遵循重定向
将监督步骤构建到业务逻辑中,部署持续监控和检查流量的安全解决方案
不轻信第三方API
即使外部API声誉良好,企业也要在应用程序和API中构建防御和限制
Akamai:接棒API安全守护任务
四年间新旧OWASP十大API安全风险更迭已然明确,当下企业组织及其安全供应商更需加强合作,在人员、流程和技术之间密切配合,建立起新形势下的坚实防御体系。
恰逢OWASP新榜发布之际,Akamai收购了Neosec API检测和响应平台。基于强强联合,全新的Akamai Web应用程序和API保护解决方案,能够帮助客户获得全域API的可见性,及时评估风险并响应漏洞和攻击。
健全的云安全产品矩阵,也可以与Akamai Connected Cloud云平台进行联动,每天从数百万次Web应用程序攻击、数十亿个机器人请求和数万亿个API请求中探查实时动态,提前展开智能布防。