OWASP：2019 vs 2023，API安全風(fēng)險變遷簡史

2023年6月，OWASP非營利安全組織對2019年發(fā)布的十大API安全風(fēng)險進行了首次重大更新。新擬議的榜單重點強調(diào)了授權(quán)問題，在前五大攻擊中占據(jù)四席。

要想探明API攻擊趨勢，小邁先帶您回顧一下四年前的API漏洞榜單，看看“初代目”安全殺手作案手法，以便和今日現(xiàn)狀對比，有針對性地保護API安全。

OWASP榜單風(fēng)向一

兩大安全殺手“合體”

當(dāng)我們的目光順著新舊榜單瀏覽時，會發(fā)現(xiàn)OWASP將以前的過度數(shù)據(jù)暴露和批量分配合并為新的對象屬性級別授權(quán)失效（BOPLA）。值得關(guān)注的根本原因為對象屬性級別授權(quán)驗證失敗。

新舊榜單對比

相比對象級別授權(quán)失效（BOLA）指向整個對象，BOPLA則指向?qū)ο髢?nèi)部的屬性，會深入查看對象屬性級別，生成過度共享信息或允許修改或刪除特定屬性的額外風(fēng)險。

BOPLA指對象內(nèi)部的屬性

OWASP榜單風(fēng)向二

SSRF:更常見、更危險

當(dāng)下，注入攻擊本質(zhì)上已屬于安全配置錯誤。正確的安全配置會包括Web應(yīng)用程序和API保護機制，默認情況下應(yīng)掃描并防止注入。在新榜單中，注入安全風(fēng)險被剔除后，服務(wù)端請求偽造（SSRF）成了新面孔。SSRF會允許攻擊者從服務(wù)器向其他內(nèi)外部系統(tǒng)，發(fā)出未經(jīng)授權(quán)的請求。

SSRF上榜的潛在原因

更常見

API更容易受到SSRF攻擊，是因為對數(shù)字化技術(shù)的依賴，如Kubernetes和Docker依賴于HTTPS API基礎(chǔ)上的通信協(xié)議。

更危險

借助Webhooks、SSO集成，以及經(jīng)API端點獲取/重定向URL文件等技術(shù)，威脅參與者有機會應(yīng)用SSRF。

OWASP榜單風(fēng)向三

資源風(fēng)險警鐘長鳴

資源方面，2019年的“資源訪問無限制”威脅，側(cè)重于導(dǎo)致API端點不堪重負相關(guān)風(fēng)險，而在2023年，四號位安全殺手已經(jīng)轉(zhuǎn)向為“未受限制的資源消耗”。

今天的API端點，更需要高可用性，而實施API網(wǎng)關(guān)、負載平衡或提供速率限制相關(guān)控制，正是朝著正確方向邁出的一步。面對第三方集成趨勢，此項更新旨在提高企業(yè)安全團隊與公眾的API認知。

OWASP榜單風(fēng)向四

截流企業(yè)經(jīng)營利潤

在2023年新增的安全漏洞中，不受限訪問敏感業(yè)務(wù)，是侵蝕企業(yè)利潤的直接威脅。因為攻擊者的思考模式，即是專注于潛在收益在業(yè)務(wù)流的具體位置。此類安全風(fēng)險，會因企業(yè)API端點支持的業(yè)務(wù)邏輯而有所差異。

相關(guān)API風(fēng)險示例

例如，在吸引流量方面，流媒體服務(wù)平臺會為分享信用卡信息的新用戶，提供30天免費試用。表面來看，業(yè)務(wù)邏輯只是查看新注冊的唯一電子郵件地址。但在漏洞下，新電子郵件地址可以使用相同的信用卡信息輕松訪問新的試用版，導(dǎo)致每月創(chuàng)建新帳戶的用戶，無限期免費使用。

OWASP榜單風(fēng)向五

API的不安全使用

2023新榜單的第十大安全殺手，定位為“API的不安全使用”。第三方API應(yīng)用中，API經(jīng)常要與不同的內(nèi)部和第三方服務(wù)集成和通信。安全邊界的拓展會讓檢測漏洞與主動防御變得更加復(fù)雜，因此遵循基本安全規(guī)則十分必要。

OWASP相關(guān)建議

嚴格遵循重定向

將監(jiān)督步驟構(gòu)建到業(yè)務(wù)邏輯中，部署持續(xù)監(jiān)控和檢查流量的安全解決方案

不輕信第三方API

即使外部API聲譽良好，企業(yè)也要在應(yīng)用程序和API中構(gòu)建防御和限制

Akamai:接棒API安全守護任務(wù)

四年間新舊OWASP十大API安全風(fēng)險更迭已然明確，當(dāng)下企業(yè)組織及其安全供應(yīng)商更需加強合作，在人員、流程和技術(shù)之間密切配合，建立起新形勢下的堅實防御體系。

恰逢OWASP新榜發(fā)布之際，Akamai收購了Neosec API檢測和響應(yīng)平臺。基于強強聯(lián)合，全新的Akamai Web應(yīng)用程序和API保護解決方案，能夠幫助客戶獲得全域API的可見性，及時評估風(fēng)險并響應(yīng)漏洞和攻擊。

健全的云安全產(chǎn)品矩陣，也可以與Akamai Connected Cloud云平臺進行聯(lián)動，每天從數(shù)百萬次Web應(yīng)用程序攻擊、數(shù)十億個機器人請求和數(shù)萬億個API請求中探查實時動態(tài)，提前展開智能布防。