Kontni kache
1 262-000177-001 OWASP Top 10 pou Sekirite API
2 Enfòmasyon sou pwodwi
2.1 Espesifikasyon
2.2 Enstriksyon Itilizasyon Pwodwi
2.2.1 Entwodiksyon sou Sekirite API
2.2.2 Fèy Triche Sekirite API
2.2.3 Gid pou Devlopè a Plis Paseview
2.3 Kesyon yo poze souvan (FAQ)
2.3.1 K: Poukisa sekirite API enpòtan?
2.3.2 K: Kijan m ka aplike API an sekirite?
2.3.3 Dokiman / Resous
2.3.3.1 Referans

262-000177-001 OWASP Top 10 pou Sekirite API

"

Enfòmasyon sou pwodwi

Espesifikasyon

  • Non pwodwi: Gid pou devlopè pou 2023 pi bon API OWASP 10 yo
    Sekirite
  • Kontni: Fich enfòmasyon sekirite API, Definisyon, ak detay
    gid pou Top 2023 OWASP 10 pou Sekirite API

Enstriksyon Itilizasyon Pwodwi

Entwodiksyon sou Sekirite API

Gid pou Devlopè a bay enfòmasyon konplè sou
Top 2023 OWASP 10 pou Sekirite API, mete aksan sou sekirite komen.
risk lè w ap devlope aplikasyon ak API.

Fèy Triche Sekirite API

Fèy triche a bay lis kategori sekirite API sa yo
risk:

  1. Otorizasyon Nivo Objè Kase
  2. Otantifikasyon Kase
  3. Otorizasyon Nivo Pwopriyete Objè Kase
  4. Konsomasyon Resous San Restriksyon
  5. Otorizasyon Nivo Fonksyon Kase
  6. Aksè san restriksyon pou koule biznis sansib yo
  7. Fo Demann Bò Sèvè a
  8. Move konfigirasyon sekirite
  9. Jesyon Envantè ki Pa Apwopriye
  10. Konsomasyon API ki pa an sekirite

Gid pou Devlopè a Plis Paseview

Gid la fouye nan chak kategori risk sekirite API, li bay
eksplikasyon detaye ak konsèy sou kijan pou adrese ak diminye
risk sa yo efektivman.

Kesyon yo poze souvan (FAQ)

K: Poukisa sekirite API enpòtan?

A: Sekirite API a enpòtan anpil paske API yo souvan ekspoze done sansib.
ak lojik aplikasyon an, sa ki fè yo tounen sib prensipal pou atakè yo.
Pwoteje API yo esansyèl pou anpeche vyolasyon done ak
asire sekirite sistèm nan an jeneral.

K: Kijan m ka aplike API an sekirite?

A: Pou aplike API ki an sekirite, swiv pi bon pratik yo tankou
otantifikasyon apwopriye, mekanis otorizasyon, validasyon antre,
chifreman done sansib yo, ak evalyasyon sekirite regilye yo ak
mizajou.

"`

View Fullscreen

PAPYE BLAN
Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

Kontni

Fèy enfòmasyon sekirite API

5

Definisyon

5

API1:2023–Otorizasyon Nivo Objè Kase

7

API2:2023–Otantifikasyon Kase

8

API3:2023–Otorizasyon Nivo Pwopriyete Objè Kase

9

API4:2023–Konsomasyon Resous San Restriksyon

11

API5:2023–Otorizasyon Nivo Fonksyon Kase

13

API6:2023–Aksè san restriksyon nan koule biznis sansib yo

14

API7:2023–Fo demann bò sèvè a

16

API8:2023–Move Konfigirasyon Sekirite

18

API9:2023–Jesyon Envantè ki Pa Apwopriye

19

API10:2023–Konsomasyon API ki pa an sekirite

21

Top 10 Sekirite API a pa sifi!

23

Konklizyon

23

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

2/23

Kòm konpayi yo te adopte enfrastrikti natif natal nan nwaj la ak metodoloji nan style DevOp, web Entèfas pwogramasyon aplikasyon yo, oubyen API yo, vin pi plis. Kèk nan API piblik ki pi popilè yo enkli sa yo ki pèmèt devlopè yo jwenn aksè nan Google Search, grate done nan TikTok, swiv machin, kolekte rezilta espòtif, epi kolekte done sou telechajman imaj nan sit popilè yo.1 An 2023, trafik ki gen rapò ak API yo reprezante 58 pousan nan tout trafik dinamik—defini kòm trafik ki pa ka estoke nan kach—konpare ak 54 pousan nan fen 2021.2
API yo vin tounen mwayen pou aplikasyon antrepriz yo kominike epi entegre youn ak lòt tou. Konpayi yo itilize anviwon de tyè nan API yo (64%) pou konekte aplikasyon yo ak patnè yo, pandan ke anviwon mwatye (51%) se pwen aksè pou mikwosèvis yo. An jeneral, plis pase twa ka nan konpayi yo itilize an mwayèn omwen 25 API pou chak aplikasyon.3
Adopsyon enfrastrikti aplikasyon ki baze sou API pa ta dwe yon sipriz: Konpayi ki adopte API pou atire devlopè twazyèm pati epi kreye ekosistèm wè yon ogmantasyon nan kwasans. "Konpayi envèse" sa yo - yo rele yo konsa paske yo ranvèse konsèp tradisyonèl yo pou kreye baryè alantou teknoloji yo epi pèmèt aksè ouvè a kèk kapasite ak done - te grandi prèske 13 pousan sou dezan, ak 39 pousan sou 16 ane, konpare ak konpayi ki pa t adopte API, dapre yon atik an 2022 pa chèchè nan Inivèsite Chapman ak Inivèsite Boston.4
Sepandan, avèk adopsyon mikwosèvis, kontenèrizasyon, ak API yo, vini yon varyete risk, tankou konpozan lojisyèl ki pa an sekirite, move lojik biznis, ak sekirite done ki defektye. Nèf sou dis òganizasyon (92%) te sibi omwen yon ensidan sekirite ki gen rapò ak API ki pa an sekirite.5 Gwo konpayi yo tipikman gen plizyè milye API epi atak sou sistèm sa yo reprezante anviwon 20 pousan nan ensidan sekirite yo, alòske pi piti konpayi yo gen plizyè santèn API ki gen yon sifas atak ki pi piti ki reprezante senk pousan nan ensidan sekirite yo.6 Pèt anyèl akòz vyolasyon ki koze pa vilnerabilite API yo depase 40 milya dola globalman, dapre yon estimasyon Marsh McLennan.7
1 Arellano, Kelly. 50 API ki pi popilè yo. Blog RapidAPI. RapidAPI. Web Paj. 16 Mas 2023.
2 Tremante, Michael, et al. Rapò sou Sekirite Aplikasyon: T2 2023. Blog Cloudflare. Cloudflare. Pòs blog. 21 Out 2023.
3 Marks, Melinda. Pwoteje Sifas Atak API a. Enterprise Strategy Group. Patwone pa Palo Alto Networks. Rapò PDF, p. 10. 23 Me 2023.
4 Benzell, Seth G., et al. Kijan API yo kreye kwasans lè yo envèse konpayi an. Rezo Rechèch Syans Sosyal. Dokiman Rechèch. Revize: 30 Desanm 2022.
5 Pwoteje Sifas Atak API a. Enterprise Strategy Group, p. 14. 6 Lemos, Robert. Pèt Sekirite API yo rive nan plizyè milya, men se yon bagay konplike. Lekti Fènwa.
Atik Nouvèl. 30 jen 2022. 7 Marsh McLennan. Kantifikasyon Pri Ensekirite API. Patwone pa Imperva.
Rapò PDF. 22 jen 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

3/23

Lis 2023 pi gwo risk sekirite API pou 10 la mete aksan sou dis risk sekirite ki pi komen ak grav ki kreye lè w ap devlope aplikasyon ki ekspoze oswa itilize API.

Pwoblèm nan tèlman grav ke Ajans Sekirite Nasyonal Etazini an te mete tèt ansanm ak Sant Sekirite Sibernetik Ostralyen an (ACSC) ak Ajans Sekirite Sibernetik ak Enfrastrikti Etazini an (CISA) pou ofri konsèy sou pwoblèm sekirite API yo, sitou sa yo ki pi komen yo, ke yo rekonèt kòm vilnerabilite referans objè dirèk ki pa an sekirite (IDOR).8
Jan yo te prevwa a, nan kontèks enkyetid sekirite k ap ogmante sa yo, Open Worldwide Application Security Project (OWASP) pibliye yon aktyalizasyon sou lis 10 pi bon sekirite API li a. Nan rafrechisman premye lis 2019 li a, lis 2023 pi bon sekirite API 10 la mete aksan sou dis risk sekirite ki pi komen ak grav ki kreye lè y ap devlope aplikasyon ki ekspoze oswa itilize API. Pwoblèm tankou Otorizasyon Nivo Objè Kase, yon sipèansanm ki gen ladan vilnerabilite IDOR, rete menm jan ak lis anvan an. Men, nouvo kategori yo - oswa kategori ki reòganize yo - kounye a mete aksan sou pwoblèm yo te neglije nan tan lontan, tankou Fo Demann Bò Sèvè (API7:2023) ak Aksè san Restriksyon nan Koule Biznis Sansib (API6:2023).
“Pa nati, API yo ekspoze lojik aplikasyon ak done sansib tankou Enfòmasyon Pèsonèl Idantifyab (PII) e poutèt sa, API yo vin pi plis yon sib pou atakan yo,” gwoup OWASP la deklare nan anons li a.9 “San API an sekirite, inovasyon rapid ta enposib.”

8 Nouvo Avi sou Sibèsekirite Avètisman sou Web Vilnerabilite Aplikasyon yo. Ajans Sekirite Nasyonal. Kominike pou laprès. 27 Jiyè 2023.
9 Pwojè Sekirite Aplikasyon Ouvè atravè lemond. Top 10 Sekirite API OWASP: Pou pi devan. OWASP.org. Web Paj. 3 Jiyè 2023.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

4/23

Fèy enfòmasyon sekirite API

Pami 10 kategori OWASP yo: 1. Otorizasyon Nivo Objè Kase 2. Otantifikasyon Kase 3. Otorizasyon Nivo Pwopriyete Objè Kase 4. Konsomasyon Resous San Restriksyon 5. Otorizasyon Nivo Fonksyon Kase 6. Aksè San Restriksyon a Koule Biznis Sansib 7. Fo Demann Bò Sèvè 8. Move Konfigirasyon Sekirite 9. Jesyon Envantè ki Move 10. Konsomasyon API ki Danjere

Solisyon Cybersecurity SAST SAST, DAST SAST, DAST SAST, DAST, Secure API Manager SAST DAST DAST SAST, DAST Secure API Manager SCA, SAST

Definisyon
Pwen Ekstèn API a – Pwen kominikasyon ant de sistèm, tipikman yon URL nan yon kontenè oswa yon sèvè k ap kouri yon mikrosèvis. Sèvi ak yon URL, yon aplikasyon oswa yon devlopè ka mande enfòmasyon nan men sèvè a oswa egzekite yon aksyon sou sèvè API a oswa mikrosèvis la.
Trafik ki gen rapò ak API – trafik Entènèt ki gen ladan yon demann HTTP oswa HTTPS epi ki gen yon kontni repons XML oswa JSON, ki endike ke done yo ap pase nan yon aplikasyon, anjeneral atravè SOAP, WSDL, yon API REST, oswa gRPC (gade anba a).
Tès Sekirite Aplikasyon Dinamik (DAST) – Pwosesis pou analize yon aplikasyon oswa yon sèvè API lè l sèvi avèk koòdone a, kit se koòdone itilizatè pou yon aplikasyon, yon web pati devan pou yon web aplikasyon, oubyen URLs pou pwen final API yo. Nan kalite tès bwat nwa, apwòch sa a evalye yon aplikasyon "soti deyò anndan" lè li atake yon aplikasyon menm jan ak yon atakè, anjeneral san konesans sou pwosesis entèn yo.
Tès Sekirite Aplikasyon Estatik (SAST) – Yon apwòch pou sekirite aplikasyon ki analize kòd sous la, binè a oswa kòd okte a pou jwenn modèl erè oswa vilnerabilite ki rekonèt. Pafwa yo rele tès bwat blan, SAST itilize yon apwòch "anndan-deyò" ki idantifye vilnerabilite ak erè potansyèl ki ka, oswa pa, eksplwatab pa yon atakè ekstèn. Zouti estatik lejè yo ka bay fidbak an tan reyèl bay devlopè yo nan IDE yo.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

5/23

Otorizasyon Nivo Objè Kase se yon pwoblèm ki gaye toupatou e ki fasil pou eksplwate nan web aplikasyon yo paske apèl API yo pote enfòmasyon sou eta a. Aplikasyon yo vilnerab si yo pèmèt yon itilizatè pran aksyon lè li presize yon idantifikatè nan yon API san yo pa tcheke si yo gen otorizasyon pou pran aksyon sa yo.

SOAP/WSDL – Yon pwotokòl ki baze sou XML pou kreye Web API yo. SOAP se pwotokòl la li menm ak WSDL (Web Langaj Definisyon Sèvis) se fòma yo itilize pou dekri sèvis yo fòmèlman. Akòz gwo chaj la, stil API sa a vin pa popilè pou nouvo devlopman yo.
REPO-A Web Stil API ki enplike echanj mesaj dirèkteman sou HTTP, lè l sèvi avèk semantik HTTP a URLs ak vèb, san yo pa itilize yon "anvlòp" adisyonèl. Kontni an anjeneral kode kòm JSON, byenke nan kèk ka li se XML.
GraphQL–Yon langaj rechèch ki fèt pou itilize nan API (ak demann ak repons an JSON), ansanm ak pwogram ekzekisyon bò sèvè pou egzekite rechèch sa yo. Li pèmèt kliyan yo defini estrikti done yo bezwen epi answit resevwa sa nan men sèvè a nan fòma sa a.
gRPC–Yon pwotokòl API ki pi pèfòman pase REST. Li itilize HTTP/2 ak pèfòmans avanse.tages ki ofri sou HTTP/1.1. Fòma mesaj endividyèl yo anjeneral binè epi li baze sou ProtoBuf, sa ki kreye yon lòt avantaj pèfòmans.tages sou REST ak SOAP.

Top 2023 Sekirite API pou 10

Antre Sekirite API Analòg 2019 la

API1:2023–Otorizasyon Nivo Objè Kase

API1:2019–Otorizasyon Nivo Objè Kase

API2:2023–Otantifikasyon Kase

API2:2019–Otantifikasyon Itilizatè Kase

API3:2023–Otorizasyon Nivo Pwopriyete Objè Kase

API3:2019–Ekspozisyon Done Twòp, API6:2019–Atribisyon an Mas

API4:2023–Konsomasyon Resous San Restriksyon

API4:2019–Mank Resous ak Limitasyon To

API5:2023–Otorizasyon Nivo Fonksyon Kase

API5:2019–Otorizasyon Nivo Fonksyon Kase

API6:2023–Aksè san restriksyon nan koule biznis sansib yo

API7:2023–Fo demann bò sèvè a

API8:2023–Move Konfigirasyon Sekirite API7:2019–Move Konfigirasyon Sekirite

API9:2023–Jesyon Envantè ki Pa Apwopriye

API9:2019–Jesyon Byen ki Pa Apwopriye

API10:2023–Konsomasyon API ki pa an sekirite

API8:2019–Enjeksyon, API10:2019–Anrejistreman ak siveyans ensifizan

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

6/23

Devlopè yo ak ekip sekirite aplikasyon yo dwe byen aplike kapasite pou verifye idantite itilizatè a atravè otantifikasyon.

API1:2023–Otorizasyon Nivo Objè Kase
Ki sa li ye?
API yo pèmèt aksè a sèvis ak done lè l sèvi avèk sèvis estanda. web demann yo. Konpayi yo ekspoze enfrastrikti ak done yo a aksè dirèk ki pa an sekirite lè byen sa yo pa byen pwoteje oswa lè kontwòl otorizasyon yo pa byen aplike oswa yo pa la. Otorizasyon Nivo Objè Kase - ke yo rele tou Referans Objè Dirèk ki pa An Sekirite (IDOR) - ka mennen nan yon varyete risk, soti nan divilgasyon done rive nan pran kontwòl kont konplè.
Ki sa ki fè yon aplikasyon vilnerab?
Sa a se yon pwoblèm ki gaye toupatou e ki fasil pou eksplwate nan web aplikasyon yo. Aplikasyon yo vilnerab si yo pèmèt yon itilizatè pran aksyon lè li presize yon idantifyan nan yon API san yo pa tcheke si yo gen otorizasyon pou pran aksyon sa yo.
Nan yon ansyenampJan OWASP te detaye a, yon platfòm pou magazen sou entènèt te kapab pèmèt aksè a done magazen yo lè l sèvi avèk yon senp apèl:
/shops/{shopName}/revenue _ data.json
Sa a pa an sekirite paske nenpòt itilizatè ka ranplase shopName la ak non magazen yon lòt itilizatè, pou l jwenn aksè a done li pa ta dwe genyen.
Atak ansyenamples
An 2021, yon chèchè sekirite te dekouvri ke webSèvè aplikasyon ak sèvè back-end ki te bay done bay bisiklèt egzèsis Peloton yo te gen plizyè pwen final API ki te pèmèt itilizatè ki pa otantifye jwenn aksè a done prive. Nan mwa fevriye 2021, Peloton te aplike yon solisyon pasyèl pou pwoblèm nan, limite aksè API a sèlman pou itilizatè otantifye, men toujou pèmèt itilizatè sa yo jwenn aksè a nenpòt done prive pou lòt manm yo. Yon solisyon konplè te vini nan mwa me 2021.10
Kijan pou anpeche sa antanke devlopè?
Devlopè yo anpeche aksè ki pa an sekirite nan objè yo lè yo aplike kontwòl strik, lè yo bay idantifyan itilizatè enprevizib pou dekouraje konte kont yo, epi lè yo verifye otorizasyon nan nivo objè pou chak fonksyon ki jwenn aksè nan yon sous done. Devlopè yo ta dwe ankapsule verifikasyon sa yo, sitou si yo baze sou enfòmasyon itilizatè yo bay, pou retire posiblite pou erè ki fèt san fè espre ta ka febli sekirite a. Pwofesyonèl sekirite aplikasyon ak operasyon yo ta dwe mande verifikasyon otorizasyon pou chak demann pou done backend yo.
Kijan OpenText ka ede w?
Tès Sekirite Aplikasyon Estatik OpenTextTM (SAST) ak Tès Sekirite Aplikasyon Dinamik OpenTextTM (DAST) ka detekte yon pakèt vilnerabilite nan kategori Referans Objè Dirèk Ensekirite (IDOR). IDOR ka gen ladan vilnerabilite tankou Travèse Anyè, File Telechaje, epi File Enklizyon. An jeneral, IDOR gen ladan l tou klas vilnerabilite kote idantifikatè yo
10 Masters, Janvye. Tour de Peloton: Done itilizatè ekspoze. Blog Pen Test Partners. Pen Test Partners. Web Paj. 5 Me 2021.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

7/23

Devlopè yo ak ekip sekirite aplikasyon yo dwe byen aplike kapasite pou verifye idantite itilizatè a atravè otantifikasyon.

ka modifye atravè URL, Manipilasyon kò, oswa antèt. Sistèm nan ap avèti devlopè yo sou ka kote itilizatè a ka chwazi kle prensipal la dirèkteman nan demann API a pou yon baz done oswa yon veso depo, yon pwoblèm ki souvan mennen nan klas vilnerabilite sa a. Sistèm nan ap avèti tou lè yon verifikasyon otorizasyon espere manke.
API2:2023–Otantifikasyon Kase
Ki sa li ye?
Verifikasyon otorizasyon yo limite aksè a done ki baze sou wòl oswa itilizatè espesifik, men limitasyon sa yo pa sifi pou pwoteje sistèm, done ak sèvis yo. Devlopè yo ak ekip sekirite aplikasyon yo dwe byen aplike kapasite pou verifye idantite itilizatè a atravè otantifikasyon. Malgre nati kritik otantifikasyon an, konpozan yo souvan mal aplike oswa mal itilize - kòz fondamantal Otantifikasyon Itilizatè Kase. Otantifikasyon Itilizatè Kase pèmèt atakan yo kapasite pou sipoze idantite lòt itilizatè tanporèman oswa pèmanan lè yo eksplwate jeton otantifikasyon ki pa an sekirite oswa konpwomèt defo aplikasyon yo.
Ki sa ki fè yon aplikasyon vilnerab?
Pwoblèm komen e fasil pou eksplwate sa a rive paske otantifikasyon se yon pwosesis konplèks ki ka konfizyon epi ki, pa definisyon, ekspoze a piblik la. Erè devlopè yo ak move konfigirasyon aplikasyon yo ka lakòz yon mank verifikasyon nesesè ki pèmèt atakan yo evite otantifikasyon. Devlopè ki pa aplike otantifikasyon pou yon pwen final patikilye oswa ki pèmèt yon mekanis otantifikasyon fèb ekspoze aplikasyon yo a yon varyete atak, tankou rablaj kalifikasyon, repetisyon jeton, oswa repwodiksyon modpas.
Atak ansyenamples
Ant fevriye ak jen 2023, atak "credential stuffing" te vize magazen rad Hot Topic, ki te avèti kliyan li yo ke yon kantite kont enkoni te konpwomèt. Atakè yo – lè l sèvi avèk kalifikasyon yo te kolekte nan sous enkoni – te kapab jwenn aksè a done pèsonèl sansib, tankou non kliyan yo, adrès imel yo, istwa kòmand yo, nimewo telefòn yo, ak mwa ak jou nesans yo.11
Nan mwa fevriye 2022, yon bokit depo nwaj ki te mal konfigire te kite 1 GB done sansib ki soti nan sèvis maketing imel Beetle Eye san pwoteksyon modpas oswa chifreman. Done yo te gen ladan enfòmasyon kontak ak enfòmasyon ki gen rapò ak touris ke plizyè ajans touris ak eta ameriken te kolekte.12 Mekanis otantifikasyon ki mal konfigire yo konsidere kòm yon varyant nan kategori Otantifikasyon Itilizatè Kase a.
Kijan pou anpeche sa antanke devlopè?
11 Toulas, Bill. Chèn magazen Hot Topic devwale yon vag atak "credential stuffing". BleepingComputer. Atik nouvèl. 1 Out 2023.
12 Nair, Prajeet. Done 7 milyon moun ekspoze atravè platfòm maketing ameriken an. Vyolasyon done jodi a. Rezo ISMG. 11 fevriye 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

8/23

Normalizasyon se zanmi ou pou otantifikasyon. Ekip DevSecOps yo ta dwe kreye youn – oubyen yon kantite limite – metòd otantifikasyon pou aplikasyon yo epi asire ke devlopè yo aplike mekanis yo inifòmman atravè tout mikrosèvis ak API yo.

Normalizasyon se zanmi ou pou otantifikasyon. Ekip DevSecOps yo ta dwe kreye youn – oubyen yon kantite limite – metòd otantifikasyon pou aplikasyon yo epi asire ke devlopè yo aplike mekanis yo inifòmman atravè tout mikrosèvis ak API yo. Nenpòt aplikasyon otantifikasyon ta dwe re-viewnan kontèks Estanda Verifikasyon Sekirite Aplikasyon OWASP (ASVS), kounye a nan vèsyon 4,13 pou asire koreksyon aplikasyon an ak kontwòl sekirite ki asosye yo. Nenpòt devyasyon nan estanda a - espesyalman nenpòt ekspozisyon entansyonèl nan pwen final ki pa otantifye - ta dwe evalye pa ekip sekirite a epi sèlman otorize pou satisfè yon egzijans biznis solid.
Kijan OpenText ka ede w?
OAuth ak JWT se de nan kalite otantifikasyon ki pi komen yo itilize pou aplike API yo, epi OpenText Dynamic Application Security Testing gen verifikasyon pou aplikasyon fèb nan tou de estanda yo nan aplikasyon yo, ansanm ak move konfigirasyon ak modèl vilnerab, tankou CSRF ak Session Fixation, ki parèt nan aplikasyon otantifikasyon koutim. Eskane Dynamic Application Security Tool (DAST) pa OpenText se yon bon fason pou detekte vilnerabilite otantifikasyon, espesyalman nan yon API.
Tès Sekirite Aplikasyon Estatik OpenText la pèmèt yon pakèt verifikasyon ki gen rapò ak move otantifikasyon tou. Zouti analiz estatik la gen ladan deteksyon pou pwoblèm jenerik - tankou flit kalifikasyon - osi byen ke pwoblèm trè espesifik nan API tankou reklamasyon pwoteksyon ki manke nan jeton JWT, oswa reklamasyon ki rive nan antèt JWT yo.
API3:2023–Otorizasyon Nivo Pwopriyete Objè Kase
Ki sa li ye?
Otorizasyon Nivo Pwopriyete Objè Kase se yon nouvo kategori nan lis OWASP 2023 la ki konbine de kategori nan lis anvan an: Ekspozisyon Done Twòp (API3:2019) ak Atribisyon Mas (API6:2019). Pwoblèm nan koze pa mank validasyon otorizasyon yon itilizatè – oubyen move otorizasyon yon itilizatè – nan nivo pwopriyete objè a. Pwen final API yo ta dwe valide ke chak itilizatè gen otorizasyon pou chak pwopriyete y ap eseye jwenn aksè oubyen chanje. Esplwate pwoblèm nan ka mennen nan ekspozisyon enfòmasyon oubyen manipilasyon done pa moun ki pa otorize.
Ki sa ki fè yon aplikasyon vilnerab?
Pwoblèm komen e fasil pou eksplwate a rive lè yon itilizatè ka otorize pou jwenn aksè a kèk pwopriyete yon objè espesifik, tankou rezève yon chanm nan yon aplikasyon vwayaj, men li pa otorize pou jwenn aksè a lòt, tankou pri yon chanm. Lè itilizatè a jwenn aksè a pwopriyete yon objè atravè yon API, aplikasyon an ta dwe verifye ke itilizatè a:
· Dwe kapab jwenn aksè a pwopriyete espesifik objè a
13 Estanda Verifikasyon Sekirite Aplikasyon OWASP. OWASP. Paj GitHub. Dènye aksè: 17 novanm 2023.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

9/23

Otorizasyon Nivo Pwopriyete Objè Kase a se yon nouvo kategori nan lis OWASP 2023 la ki konbine de kategori nan lis anvan an: Ekspozisyon Done Twòp (API3:2019) ak Asignasyon Mas (API6:2019).
Tès Sekirite Aplikasyon Estatik OpenTextTM ede anpeche tou de ekspozisyon done twòp ak asiyasyon an mas atravè analiz koule done. Sistèm nan pral mete aksan sou anpil sous done prive, tankou sa yo ki baze sou non varyab oswa apèl API patikilye, epi idantifye objè ki pèmèt asiyasyon an mas.

(vyolasyon yo te konnen anvan kòm Ekspozisyon Done Twòp), ak/oswa
· Li otorize pou chanje pwopriyete espesifik objè a (gen kèk aplikasyon ki pa verifye sa paske yo itilize yon kad pou otomatikman mape web demann paramèt nan jaden objè yo, yon pwoblèm ke yo rekonèt kòm Asignasyon Mas).
Nan yon ansyen OWASPampPa egzanp, yon platfòm videyo sou entènèt pèmèt yon itilizatè chanje deskripsyon yon videyo, menm yon videyo bloke, men li pa ta dwe pèmèt itilizatè a modifye pwopriyete `bloke' a.
METE /api/videyo/mizajou _ videyo
{
"deskripsyon": "yon videyo komik sou chat",
"bloke": fo
}
Atak ansyenamples
Nan mwa janvye 2022, yon pwogram "bug bounty" te dekouvri yon defo nan Twitter ki te pèmèt yon itilizatè soumèt yon adrès imel oswa yon nimewo telefòn nan sistèm Twitter la, ki ta retounen non kont enfòmasyon an te ye a.14 Yon atakè enkoni te itilize defo a pou konpile yon lis plizyè milyon kont itilizatè ki lye ak nimewo telefòn ak adrès imel. Lè li te pèmèt nenpòt moun lye de pwopriyete, Twitter te pèmèt san li pa konnen itilizatè ki te gen psedonim yo idantifye pi espesifikman.
Kijan pou anpeche sa antanke devlopè?
Devlopè yo ta dwe toujou aplike kontwòl apwopriye sou kapasite pou jwenn aksè oswa chanje pwopriyete objè espesifik. Olye pou yo retounen yon estrikti done jeneral ak chak pwopriyete - sa ki souvan rive ak metòd jenerik, tankou to_json() ak to_string() - pwogramè yo ta dwe trè espesifik nan enfòmasyon yo retounen. Kòm yon mezi sekirite siplemantè, aplikasyon yo ta dwe aplike validasyon repons ki baze sou chema ki aplike kontwòl sekirite sou tout done ki retounen pa metòd API yo. Aksè a ta dwe swiv prensip privilèj ki pi piti yo, sèlman pèmèt aksè si li absoliman nesesè.
Kijan OpenText ka ede w?
Tès Sekirite Aplikasyon Estatik OpenTextTM ede anpeche tou de ekspozisyon done twòp ak asiyasyon an mas atravè analiz koule done. Sistèm nan pral mete aksan sou anpil sous done prive, tankou sa yo ki baze sou non varyab oswa apèl API patikilye, epi idantifye objè ki pèmèt asiyasyon an mas. Itilizatè yo ka defini pwòp sous pa yo tou, swiv done atravè pwogram nan, epi si li fini nan yon kote ki pa apwopriye, avèti devlopè a oswa operatè a sou risk la.

14 Yon ensidan ki afekte kèk kont ak enfòmasyon prive sou Twitter. Sant Konfidansyalite Twitter. Twitter. Web Paj. 5 Out 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

10/23

Aplikasyon ki pa limite resous ki asiyen pou satisfè yon demann ka vilnerab, tankou sa yo ki pa rive limite memwa ki ka asiyen, kantite resous files oubyen pwosesis yo jwenn aksè, oubyen pousantaj demann yo otorize, pami lòt atribi.

Anplis de sa, OpenText SAST gen konesans sou mekanis serializasyon ak deseriyalizasyon JSON ak XML ki pi enpòtan yo. Lè l sèvi avèk sa, zouti a ka detekte kòd ki pa deseriyalize objè transfè domèn (DTO) yo byen, sa ki ta ka pèmèt plasman an mas atribi li yo. Gen kèk ka ekspozisyon enfòmasyon ak plasman an mas ki kapab detekte tou lè l sèvi avèk OpenText Dynamic Application Security Testing. Finalman, gen kèk mezi kontrekare ki ka aplike lè w ajoute règ nan... web pare-feu aplikasyon (WAF).
API4:2023–Konsomasyon Resous San Restriksyon
Ki sa li ye?
API yo ekspoze anpil fonksyon biznis itil. Pou fè sa, yo itilize resous enfòmatik tankou sèvè baz done oswa yo ka gen aksè a yon konpozan fizik atravè teknoloji operasyonèl. Paske sistèm yo gen yon seri resous limite pou reponn a apèl API yo, atakan yo ka espesyalman kreye demann pou kreye senaryo ki lakòz epuizman resous, refi sèvis, oswa ogmantasyon depans biznis yo. Nan anpil ka, atakan yo ka voye demann API ki bloke resous enpòtan, sa ki akable machin nan oswa resous Pleasant yo epi ki lakòz yon atak refi sèvis. Lè yo voye demann repete soti nan diferan adrès IP oswa enstans nwaj, atakan yo ka kontoune defans ki fèt pou detekte pik sispèk nan itilizasyon.
Ki sa ki fè yon aplikasyon vilnerab?
Demann API yo deklanche repons. Kit repons sa yo enplike aksè a yon baz done, fè I/O, fè kalkil, oswa (de pli zan pli) jenere rezilta a soti nan yon modèl aprantisaj machin, API yo itilize resous enfòmatik, rezo, ak memwa. Yon atakè ka voye demann API nan yon pwen final kòm yon pati nan yon atak refi-de-sèvis (DoS) ki, olye pou yo depase Pleasant - objektif yon atak DoS volimik - pito itilize resous CPU, memwa, ak nwaj yo. Aplikasyon ki pa limite resous ki asiyen pou satisfè yon demann ka vilnerab, tankou sa yo ki pa rive limite memwa ki ka asiyen, kantite... files oubyen pwosesis yo jwenn aksè, oubyen pousantaj demann yo otorize, pami lòt atribi.
API pwosesis sèvè a bezwen gen limit an plas pou anpeche twòp alokasyon memwa ak chaj travay, twòp demann pou operasyon deklanche pa API a, oswa chaj twòp pou yon sèvis twazyèm pati san limit depans.
Yon atak komen se modifye agiman yo pase nan pwen final API a, tankou ogmante gwosè repons lan epi mande plizyè milyon antre nan baz done, olye de, ann di, premye dis yo:
/api/itilizatè?paj=1&gwosè=1000000
Anplis, si atakè a ka jwenn aksè a yon sèvis backend ki fè moun peye pou itilizasyon, atak konsomasyon resous yo ka itilize pou fè pwopriyetè aplikasyon an peye plis. Yon lòt egzanp OWASPample montre yon fonksyonalite reyinisyalizasyon modpas ki itilize yon mesaj tèks SMS pou verifye idantite epi ki ta ka rele plizyè milye fwa pou ogmante depans viktim nan.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

11/23

Filtraj nan limit rezo a lè l sèvi avèk rezo distribisyon kontni (CDN) ki asosye avèk web Pare-feu aplikasyon yo (WAF) ka diminye inondasyon trafik pandan y ap minimize enpak la sou itilizatè endividyèl yo.

POST /sms/voye _ reyinisyalize _ modpas _ kòd
Otès: willyo.net {
"nimewo telefòn": "6501113434" }
Atak ansyenamples
Piske atak konsomasyon resous yo souvan mete ansanm ak pwoblèm pèfòmans ak disponiblite, konpayi sib yo gen tandans trete yo kòm yon pati nan pri pou fè biznis, olye de ensidan ki bezwen rapòte, sa ki diminye vizibilite sou menas la. An 2022, atak distribye-deni-sèvis (DDoS) kouch aplikasyon an, yon sipè-ansanm atak konsomasyon resous API yo, te diminye kòm yon pousantaj nan tout atak yo, men 4yèm trimès 2022 a te toujou anrejistre 79% plis atak pase menm trimès ane anvan an.15
Nan yon atak ki te dekri an 2015, yon devlopè te detekte yon kliyan Android ki te kontakte sit yo a plizyè fwa. Web API ak kle API ki pwodui o aza, sa ki lakòz yon atak refi-de-sèvis. Devlopè a te fè ipotèz ke yon aplikasyon move enstale sou aparèy Android t ap eseye devine kle API 64-bit la.16
Kijan pou anpeche sa antanke devlopè?
Lè w sèvi ak limit vitès ak papòt, ou ka diminye pifò atak konsomasyon resous yo, byenke trafik lejitim kapab afekte tou pa defans ki mal konstwi. Ou ta dwe mete limit espesifik sou:
· Alokasyon memwa
· Pwosesis
· Enstans nwaj yo
· Telechaje file deskriptè ak file gwosè
· Dosye yo retounen
· Kantite tranzaksyon peye pou sèvis twazyèm pati yo
· Tout paramèt k ap rantre yo (pa egzanp, longè chèn karaktè, longè etalaj, elatriye)
· Kantite entèraksyon API pa kliyan nan yon peryòd tan espesifik
Filtraj nan limit rezo a lè l sèvi avèk rezo distribisyon kontni (CDN) ki asosye avèk web Pare-feu aplikasyon yo (WAF) ka diminye inondasyon trafik pandan y ap minimize enpak la sou itilizatè endividyèl yo. Platfòm livrezon aplikasyon yo pèmèt filtraj fasil, ki gen ladan limit sou memwa, CPU, ak pwosesis.
15 Yoachimik, Omer. Rapò sou menas Cloudflare DDoS pou 2022yèm trimès 4 a. Blog Cloudflare. Web Paj. 10 Janvye 2023.
16 Kijan pou bloke yon atak piratage/DOS sou web API. StackOverflow. Web Paj. 15 septanm 2015.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

12/23

Tès Sekirite Aplikasyon Dinamik OpenText la ka teste sèvè yo ak fonksyon API yo pou wè si yo vilnerab a atak refi-de-sèvis san li pa afekte sèvis la. Anplis de sa, aksyon menm pou fè yon eskanè DAST ka teste yon anviwònman anba estrès ase pou montre feblès potansyèl konsomasyon resous yo.

Kijan OpenText ka ede w?
Avèk OpenText SAST ak OpenText Dynamic Application Security Testing, ekip DevSecOps yo ka teste kòd ak enfrastrikti yo pou rezistans fas a atak ki koze pa epuizman resous yo. OpenText SAST ka detekte anpil zòn kote yon atakè ta ka abize lojik aplikasyon an pou kreye yon konsomasyon resous ekstrèm.
Sekirite nan nivo kòd la pa sifi pou adrese pwoblèm sa a nan aplikasyon an. Fatig resous ak limitasyon vitès se sou-segman espesifik nan atak refi-sèvis ki ta dwe atenye pandan ekzekisyon. OpenText Dynamic Application Security Testing ka teste sèvè ak fonksyon API pou vilnerabilite nan atak refi-sèvis san afekte sèvis la. Anplis de sa, aksyon menm pou fè yon eskanè DAST ka teste yon anviwònman anba estrès ase pou montre feblès potansyèl konsomasyon resous yo.
API5:2023–Otorizasyon Nivo Fonksyon Kase
Ki sa li ye?
Aplikasyon modèn yo gen anpil fonksyon diferan ki jwenn aksè, kreye, manipile, efase, epi jere done. Se pa tout itilizatè aplikasyon ki bezwen aksè a chak fonksyon oswa tout done yo, ni yo pa ta dwe pèmèt li anba prensip privilèj minimòm lan. Chak pwen final API gen yon odyans sib ki ka gen ladan itilizatè anonim, itilizatè regilye ki pa gen privilèj, ak itilizatè privilejye. Fonksyon administratif ak jesyon yo ta dwe mande otorizasyon privilejye, men pafwa yo aksesib atravè apèl API lejitim nan men itilizatè ki pa otorize - orijin Otorizasyon Nivo Fonksyon Kase. Akòz diferan yerachi, gwoup, ak wòl ki kreye konpleksite nan kontwòl aksè, fonksyon aplikasyon yo ka pa gen restriksyon apwopriye sou ki moun ki ka rele yo.
Ki sa ki fè yon aplikasyon vilnerab?
Aplikasyon ki pèmèt fonksyon espesifik fè travay administratif yo pa ka limite aksè a fonksyon sa yo yon fason ki an sekirite. API ki konekte dirèkteman ak fonksyon sa yo ap ekspoze feblès sa yo a eksplwatasyon. Fonksyon ki pa itilize mekanis otantifikasyon ak otorizasyon aplikasyon an ta dwe konsidere kòm feblès sekirite potansyèl.
Nan yon ansyenampJan OWASP site l la, yon atakè jwenn aksè a demann API yo pou ajoute yon itilizatè envite nan yon nouvo aplikasyon mobil, pandan l ap note ke envitasyon an gen ladan enfòmasyon sou wòl moun ki envite a. Lè l eksplwate feblès la, atakè a voye yon nouvo envitasyon:
POST /api/envite/nouvo
{
"imèl": "atakè@somehost.com",
"wòl":"admin"
Sa pèmèt yo jwenn privilèj administratè sou sistèm nan.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

13/23

Ekip DevSecOps yo ta dwe konsevwa yon apwòch estanda pou otorizasyon ak otantifikasyon ki anpeche aksè a demann yo pa default, epi aplike yon apwòch "refize tout" pa default.
Kontwòl aplikasyon ak koule lojik yo se kè nenpòt biznis sou entènèt, epi pandan konpayi yo ap deplase plis operasyon yo nan nwaj la, koule sa yo ka ekspoze epi eksplwate. Aksè twòp sa a ka fè biznis la mal.

Atak ansyenamples
An 2022, Depatman Asirans Texas la te avize piblik la ke enfòmasyon prèske de milyon Teksan te ekspoze atravè yon pati nan aplikasyon konpansasyon travayè yo ki te pèmèt manm piblik la jwenn aksè a done pwoteje san yo pa vle.17 Nan yon dezyèm ensidan an 2022, konpayi telekominikasyon Ostralyen Optus te rekonèt ke enfòmasyon pèsonèl ak kont sou jiska 10 milyon Ostralyen te ekspoze pa yon API ki pa t bezwen okenn otantifikasyon oswa otorizasyon. Pandan ke Optus te kalifye atak la kòm "sofistike", yon chèchè sekirite ki abitye ak detay atak la te dekri li kòm "trivial".18
Kijan pou anpeche sa antanke devlopè?
Ekip DevSecOps yo ta dwe konsevwa yon apwòch estanda pou otantifikasyon ak otorizasyon ki anpeche aksè a demann yo pa default, aplike yon default "refize tout". Apati default sa a, toujou aplike prensip pi piti privilèj la lè w ap detèmine aksè pou wòl/gwoup/itilizatè yo. Devlopè yo ta dwe asire ke otantifikasyon ak otorizasyon an plas pou tout vèb/metòd HTTP ki enpòtan yo (pa egzanp, POST, GET, PUT, PATCH, DELETE) ki gen rapò ak chak pwen final API. Vèb ki pa enpòtan yo ta dwe entèdi. Anplis de sa, devlopè yo ta dwe aplike yon klas de baz pou aksè ak jesyon administratif, lè l sèvi avèk eritaj klas pou asire ke kontwòl otorizasyon yo verifye wòl itilizatè a anvan yo bay aksè. Tout fonksyon administratif kritik yo ta dwe itilize mekanis otorizasyon an pou anpeche ogmantasyon privilèj.
Kijan OpenText ka ede w?
Lè yo konbine fonksyonalite analiz kòd estatik ak API OpenTextTM Static Application Security Testing yo ak verifikasyon ekzekisyon suite OpenText Dynamic Application Security Testing (DAST) la, ekip DevSecOps yo ka evalye aplikasyon yo pou pwoblèm otorizasyon nan nivo fonksyon ki kase epi kontinye teste kòd pwodiksyon an pou feblès sekirite anvan deplwaman an. Pou detekte pwoblèm Otorizasyon Fonksyon Objè Kase, OpenTextTM Static Application Security Testing itilize règ ki presize kilè yo ta dwe atann yon verifikasyon otorizasyon nan sèten langaj pwogramasyon ak kad travay, epi yo rapòte absans yon verifikasyon konsa.
API6:2023–Aksè san restriksyon nan koule biznis sansib yo
Ki sa li ye?
Soti nan robo tenis rive nan robo tikè, atak sou envantè détayis sou entènèt yo atravè API yo vin tounen yon pwoblèm enpòtan pou sit e-komès yo. Lè yon atakè konprann modèl biznis la ak lojik aplikasyon an, li ka kreye yon seri apèl API ki ka otomatikman rezève oswa achte.
17 Beeferman, Jason. Enfòmasyon pèsonèl 1.8 milyon Texans ki gen reklamasyon nan Depatman Asirans te ekspoze pandan plizyè ane, dapre odit la. The Texas Tribune. 17 me 2022.
18 Taylor, Josh. Vyolasyon done Optus: tout sa nou konnen jiskaprezan sou sa ki te pase. The Guardian. 28 septanm 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

14/23

Anpeche Aksè San Restriksyon nan Koule Biznis Sansib yo plis sou yon apwòch holistic pou sekirite aplikasyon yo epi mwens sou jwenn yon teknoloji espesifik.

envantè, kidonk anpeche lòt konsomatè lejitim jwenn aksè a pwodwi oswa sèvis biznis yo. Nenpòt API ki pèmèt aksè a yon pwosesis biznis ka itilize pa yon atakè pou afekte biznis la epi li tonbe anba definisyon Aksè San Restriksyon a Koule Biznis Sansib.
Ki sa ki fè yon aplikasyon vilnerab?
Kontwòl aplikasyon ak koule lojik yo se kè nenpòt biznis sou entènèt, epi pandan konpayi yo ap deplase plis operasyon yo nan nwaj la, koule sa yo ka ekspoze epi eksplwate. Aksè twòp sa a ka fè biznis la mal, lè atakè yo otomatize acha pwodwi yo, kreye bot pou kite kòmantè epi re-views, oubyen otomatize rezèvasyon machandiz oswa sèvis.
Si yon aplikasyon ofri yon pwen final ki gen aksè a koule biznis konpayi an san limite aksè a operasyon biznis ki dèyè pwen final la, aplikasyon an ap vilnerab. Pwoteksyon yo gen ladan limite kantite tantativ aksè ki soti nan yon sèl aparèy atravè anprent dijital, detekte si aktivite a soti nan yon aktè imen, epi detekte si gen automatisation ki enplike.
Atak ansyenamples
Lè tikè Taylor Swift yo te kòmanse vann sou Ticketmaster an Novanm 2022, 1.5 milyon kliyan te pre-enskri, men plis pase 14 milyon demann - ki gen ladan twa fwa plis trafik bot - te...ampte modifye lyen acha yo ak API yo kou lavant tikè yo te louvri. Sit la te kraze, sa ki te anpeche anpil kliyan achte tikè.19
Atak robo revandè yo te sanble ak sa ki te gate lansman PlayStation 5 la an Novanm 2020. Pwoblèm chèn ekipman yo te deja limite ekipman anvan lansman dènye konsole jwèt Sony a, men robo otomatik yo te fè jwenn inite ki disponib yo vin pi difisil toujou e yo te mennen nan pri revann astronomik. Nan ka yon sit e-komès, kantite tranzaksyon "ajoute nan panyen" yo te ogmante soti nan yon mwayèn 15,000 demann pa èdtan pou rive nan plis pase 27 milyon, lè l sèvi avèk API magazen an pou mande pwodwi dirèkteman pa nimewo SKU.20
Kijan pou anpeche sa antanke devlopè?
Devlopè yo ta dwe travay avèk ekip operasyon biznis la ak ekip enjenyè yo pou adrese pwoblèm aksè potansyèl move nan koule biznis yo. Ekip biznis yo ka idantifye ki koule ki ekspoze atravè API yo epi fè analiz menas pou detèmine kijan atakè yo ta ka abize pwen final sa yo. Pandansetan, devlopè yo ta dwe travay avèk operasyon enjenyè yo kòm yon pati nan yon ekip DevOps pou etabli mezi defans teknik adisyonèl, tankou itilize anprent dijital aparèy pou anpeche egzanp navigatè otomatik yo anvayi epi idantifye modèl nan konpòtman ki fè diferans ant aktè imen ak machin.
19 Steele, Billy. Ticketmaster konnen li gen yon pwoblèm ak bot, men li vle Kongrè a ranje li. Engadget. Atik Nouvèl. 24 Janvye 2023.
20 Muwandi, Tafara ak Warburton, David. Kijan Bot yo te gate lansman PlayStation 5 pou plizyè milyon jwè. Blog F5 Labs. F5. Web Paj. 18 Mas 2023.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

15/23

Ansyen ki pi byen koni anampegzanp yon atak SSRF te enplike yon ansyen Amazon Web Enjenyè Sèvis (AWS) ki te eksplwate yon pwoblèm mal konfigirasyon web yon pare-feu aplikasyon (WAF) pou itilize yon defo SSRF pou kolekte done nan yon egzanp sèvè ki pou jeyan finansye Capital One.

Ekip operasyon yo ta dwe re-view nenpòt API ki fèt pou lòt machin itilize, tankou pou ka itilizasyon B2B, epi asire ke gen kèk defans an plas pou anpeche atakè yo eksplwate entèraksyon machin ak machin.
Kijan OpenText ka ede w?
Pou detekte koule biznis ki vilnerab ak sansib yo souvan, ou bezwen fè bagay debaz yo. Konpayi yo bezwen dokimante epi swiv tout API fonksyonèl yo epi detèmine kilès ki ekspoze pwosesis ak done sansib bay atakè potansyèl yo. Lojik aplikasyon an bezwen analize tou pou defo lojik ke atakè yo ta ka eksplwate.
An jeneral, anpeche Aksè San Restriksyon nan Koule Biznis Sansib yo plis sou yon apwòch holistic pou sekirite aplikasyon yo epi mwens sou jwenn yon teknoloji espesifik.
API7:2023–Fo demann bò sèvè a
Ki sa li ye?
Sèvè backend yo jere demann ki fèt atravè pwen final API yo. Fo Demann Bò Sèvè a (SSRF) se yon vilnerabilite ki pèmèt yon atakan pouse yon sèvè pou voye demann nan non li epi avèk nivo privilèj sèvè a. Souvan atak la itilize sèvè a pou konble espas ki genyen ant atakan ekstèn lan ak rezo entèn lan. Atak SSRF debaz yo lakòz yon repons retounen bay atakan an, yon senaryo pi fasil pase atak SSRF avèg yo, kote pa gen okenn repons ki retounen, sa ki kite atakan an san okenn konfimasyon si atak la te reyisi.
Ki sa ki fè yon aplikasyon vilnerab?
Defo SSRF (Search-Side Request Forgery) yo esansyèlman soti nan yon mank validasyon done itilizatè a bay. Moun ki atake yo kapab kreye demann epi mete yon URI ki bay aksè a aplikasyon sib la.
Konsèp modèn nan devlopman aplikasyon, tankou webKwòk ak kad aplikasyon estandadize, fè SSRF pi komen e pi danjere, dapre OWASP.
Nan yon ansyenampsite pa OWASP, yon rezo sosyal ki pèmèt itilizatè yo telechaje pwofilfile imaj yo ta ka vilnerab a SSRF, si sèvè a pa valide agiman yo voye nan aplikasyon an. Olye de yon URL ap montre yon imaj, tankou:
POST /api/profile/telechaje _ foto
{
"foto _ url": "http://example.com/profile _ foto.jpg”
}
Yon atakè te kapab voye yon URI ki te kapab detèmine si yon pò espesifik louvri lè l sèvi avèk apèl API sa a:
{ "foto _ url": "lokalòt: 8080"
}

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

16/23

Move konfigirasyon sekirite gen ladan l konfigirasyon aplikasyon ak konfigirasyon vilnerab pa default, pèmèt aksè twò permisif a fonksyon ak done sansib, epi revele enfòmasyon aplikasyon piblikman atravè mesaj erè detaye.

Menm nan yon ka SSRF avèg, yon atakè te kapab konnen si pò a ouvè lè li mezire tan li pran pou jwenn yon repons.
Atak ansyenamples
Ansyen ki pi byen koni anampegzanp yon atak SSRF te enplike yon ansyen Amazon Web Enjenyè Sèvis (AWS) ki te eksplwate yon pwoblèm mal konfigirasyon web yon pare-feu aplikasyon (WAF) pou itilize yon defo SSRF pou kolekte done nan yon enstans sèvè ki pou jeyan finansye Capital One. Ensidan an, ki te rive an Jiyè 2019, te lakòz vòl done apeprè 100 milyon sitwayen ameriken ak sis milyon sitwayen kanadyen.21 Amazon konsidere move konfigirasyon an kòm sous konpwomi an, olye defo SSRF la.22
Nan mwa Oktòb 2022, yon konpayi sekirite nwaj te avize Microsoft sou kat vilnerabilite SSRF nan platfòm nwaj Azure konpayi an. Chak vilnerabilite te afekte yon sèvis Azure diferan, tankou sèvis Azure Machine Learning ak sèvis Azure API Management.23
Kijan pou anpeche sa antanke devlopè?
Devlopè yo ta dwe ankapsule mekanis pou chèche resous yo nan kòd yo, izole fonksyonalite a epi mete pwoteksyon adisyonèl an kouch pou verifye nenpòt demann. Piske fonksyonalite sa yo tipikman itilize pou chèche resous aleka epi non pa resous entèn, devlopè yo ta dwe konfigire fonksyon ankapsule yo pou itilize yon lis resous aleka otorize epi bloke tantativ pou jwenn aksè nan resous entèn yo. Redireksyon HTTP a ta dwe enfim pou fonksyon pou chèche resous yo epi nenpòt demann analize pou kòd move.
Risk pou feblès SSRF yo pa toujou elimine nèt, kidonk konpayi yo ta dwe konsidere byen risk pou itilize apèl nan resous ekstèn yo.
Kijan OpenText ka ede w?
Tès Sekirite Aplikasyon Dinamik OpenText la pèmèt ekip DevSecOps yo teste regilyèman pou Fo Demann Bò Sèvè a. Tès Sekirite Aplikasyon Dinamik OpenTextTM lan analize yon sèvè aplikasyon nan yon anviwònman configuré pou tout konpozan yo – aplikasyon, sèvè, ak rezo – ka teste, sa ki bay platfòm analiz dinamik la yon eksperyans konplè. view sou enpak demann sèvè yo.
OpenText SAST ka detekte anpil ka SSRF atravè analiz taint - pa egzanp.ampPa egzanp, si aplikasyon an itilize done itilizatè ki pa valide pou konstwi yon URL Zouti a pral siyalize itilizasyon done itilizatè san restriksyon.

21 Enfòmasyon sou ensidan sibernetik Capital One nan. Avi Capitol One. Web Paj. Mizajou 22 Avril 2022.
22 Ng, Alfred. Amazon di senatè yo se pa li ki responsab vyolasyon Capital One nan. CNET News.com. Atik nouvèl. 21 Novanm 2019.
23 Shitrit, Lidor Ben. Kijan Orca te jwenn vilnerabilite kontrefason demann bò sèvè (SSRF) nan kat sèvis Azure diferan. Blog sekirite Orca. Web Paj. 17 Janvye 2023.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

17/23

Sekirite-kòm-kòd ka ede, lè li fè konfigirasyon yo repetitif epi li bay ekip sekirite aplikasyon yo kapasite pou mete ansanm konfigirasyon estanda pou konpozan aplikasyon espesifik.

API8:2023–Move Konfigirasyon Sekirite
Ki sa li ye?
Devlopè yo souvan mal konfigire aplikasyon yo, yo pa separe byen devlopman yo ak byen pwodiksyon yo, yo ekspòte byen sansib filekonfigirasyon s-such la files–nan depo piblik yo, epi yo pa chanje konfigirasyon default yo. Move konfigirasyon sekirite gen ladan l konfigirasyon aplikasyon ak konfigirasyon default vilnerab, pèmèt aksè twò permisif nan fonksyon ak done sansib, epi revele enfòmasyon aplikasyon piblikman atravè mesaj erè detaye.
Ki sa ki fè yon aplikasyon vilnerab?
Konfigirasyon aplikasyon pa defo yo souvan twò permisif, yo pa gen ase ranfòsman sekirite, epi yo kite depo nwaj yo ouvè pou piblik la. Souvan, web Estrikti aplikasyon yo baze sou yo gen ladan yo yon pakèt karakteristik aplikasyon ki pa nesesè e ki diminye sekirite.
Nan yon ansyenampJan OWASP detaye l la, yon rezo sosyal ki ofri yon fonksyon mesaj dirèk ta dwe pwoteje vi prive itilizatè yo, men li ofri yon demann API pou rekipere yon konvèsasyon espesifik lè l sèvi avèk egzanp sa a.ampdemann API a:
JWENN /dm/user _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA
Pwen final API a pa limite done ki estoke nan kach la, sa ki lakòz konvèsasyon prive yo estoke nan kach pa... web navigatè. Moun ki atake yo te kapab rekipere enfòmasyon ki nan navigatè a, sa ki te ekspoze mesaj prive viktim nan.
Atak ansyenamples
Nan mwa me 2021, yon konpayi sekirite nwaj te avize Microsoft ke omwen 47 kliyan diferan pa t chanje konfigirasyon defo enstans Microsoft Power Apps yo. Òganizasyon ki afekte yo te gen ladan konpayi tankou American Airlines ak Microsoft, ak gouvènman eta tankou Indiana ak Maryland, epi yo te ekspoze 38 milyon dosye a konpwomi potansyèl atravè pòtal Power Apps yo.24
An 2022, yon konpayi jesyon vilnerabilite te dekouvri ke 12,000 enstans nwaj te akomode sou Amazon. Web Sèvis yo ak 10,500 ki te òganize sou Azure te kontinye ekspoze Telnet, yon pwotokòl aksè a distans yo konsidere kòm "ki pa apwopriye pou okenn itilizasyon ki baze sou entènèt jodi a," dapre yon rapò an 2022 Enklizyon karakteristik ki pa nesesè e ki pa an sekirite yo febli sekirite API yo ak aplikasyon yo.

24 Upguard Research. Pa Design: Kijan Otorizasyon Defo sou Microsoft Power Apps Ekspoze Plizyè Milyon Moun. Upgard Research Blog. Web Paj. 23 Out 2021.
25 Beardsley, Todd. Rapò sou move konfigirasyon nan nwaj la 2022. Rapid7. Rapò PDF. p. 12. 20 avril 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

18/23

Yon pwen avèg nan dokimantasyon an se lè detay sou objektif, fonksyònman ak vèsyon API a pa klè akòz yon mank dokiman ki detaye atribi enpòtan sa yo.

Kijan pou anpeche li vin yon devlopè?
Ekip DevSecOps yo bezwen konprann etap ki nesesè pou kreye konfigirasyon an sekirite pou aplikasyon yo epi sèvi ak yon tiyo devlopman otomatik pou verifye konfigirasyon an. fileanvan deplwaman, ki gen ladan tès inite regilye ak verifikasyon pandan ekzekisyon pou tcheke lojisyèl la kontinyèlman pou erè konfigirasyon oswa pwoblèm sekirite. Sekirite-kòm-kòd ka ede, lè li fè konfigirasyon yo repetitif epi bay ekip sekirite aplikasyon yo kapasite pou mete ansanm konfigirasyon estanda pou konpozan aplikasyon espesifik.
Kòm yon pati nan sik lavi devlopman an sekirite yo a, devlopè yo ak ekip operasyon yo ta dwe:
· Etabli yon pwosesis ranfòsman ki senplifye kreyasyon ak antretyen repetitif yon anviwònman aplikasyon an sekirite,
· Review epi mete ajou tout konfigirasyon yo atravè pil API a pou enkòpore nouvo estanda a yon fason ki konsistan, epi
· Otomatize evalyasyon efikasite paramèt konfigirasyon yo nan tout anviwònman yo.
Kijan OpenText ka ede w?
Tès Sekirite Aplikasyon Estatik OpenText la ka verifye konfigirasyon yo pandan pwosesis devlopman an epi detekte plizyè kalite feblès. Piske move konfigirasyon sekirite yo rive ni nan nivo kòd aplikasyon an ni nan nivo enfrastrikti a, diferan pwodwi OpenText yo ka itilize pou detekte move konfigirasyon yo.
Analiz sekirite aplikasyon estatik OpenText yo ka verifye kòd aplikasyon an pou pwoblèm konfigirasyon ki pa kòrèk. Pandan verifikasyon analiz estatik la, OpenText SAST ka evalye konfigirasyon an. files pou erè sekirite, tankou sa yo pou Docker, Kubernetes, Ansible, Amazon Web Sèvis, CloudFormation, Terraform, ak modèl Azure Resource Manager.
Yo kapab detekte erè konfigirasyon tou pandan ekzekisyon. Tès Sekirite Aplikasyon Dinamik OpenText la pèmèt ekip DevSecOps yo teste regilyèman pou move konfigirasyon sekirite komen yo. Youn nan pi gwo fòs eskanè DAST la se ke li fonksyone sou sèvè aplikasyon an nan yon anviwònman configuré, ki vle di ke tout anviwònman an - aplikasyon, sèvè, ak rezo - yo teste an menm tan, sa ki bay platfòm analiz dinamik la yon imaj konplè. view anviwònman pwodiksyon an konfigire.
API9:2023–Jesyon Envantè ki Pa Apwopriye
Ki sa li ye?
Menm jan ak pifò byen lojisyèl, API yo gen yon sik lavi, ak vèsyon ki pi ansyen yo ranplase pa API ki pi an sekirite ak efikas oubyen, de pli zan pli, lè l sèvi avèk API ki konekte ak sèvis twazyèm pati. Ekip DevSecOps ki pa kenbe vèsyon API yo ak dokiman yo ka entwodui vilnerabilite lè vèsyon API ki pi ansyen ak ki gen defo yo kontinye itilize - yon feblès ke yo rekonèt kòm Jesyon Envantè ki Pa Apwopriye. Pi bon pratik pou jesyon envantè mande pou swiv...

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

19/23

Vèsyon API yo, evalyasyon regilye ak envantè sèvis entegre yo, ak deprekasyon regilye vèsyon ansyen yo pou anpeche pwopagasyon vilnerabilite sekirite yo.
Ki sa ki fè yon aplikasyon vilnerab?
Achitekti lojisyèl ki depann sou API yo – sitou sa yo ki itilize achitekti mikrosèvis – gen tandans ekspoze plis pwen final pase achitekti tradisyonèl yo. web aplikasyon yo. Anpil pwen final API yo, ansanm ak posiblite pou plizyè vèsyon yon API egziste an menm tan, mande resous jesyon adisyonèl nan men founisè API a pou anpeche yon sifas atak k ap agrandi. OWASP idantifye de gwo pwen avèg ke ekip DevSecOps yo ka genyen konsènan enfrastrikti API yo.
Premyèman, yon pwen avèg nan dokimantasyon an se lè detay sou objektif, fonksyònman ak vèsyon API a pa klè akòz yon mank dokimantasyon ki detaye atribi enpòtan sa yo.
Dezyèmman, yon pwen avèg nan koule done rive lè API yo itilize nan fason ki pa klè, sa ki lakòz kapasite ki pa ta dwe nesesèman otorize san yon jistifikasyon biznis solid. Pataje done sansib ak yon twazyèm pati san garanti sekirite, mank vizibilite sou rezilta final yon koule done, epi echèk pou trase tout koule done nan API ki lye an chèn se tout pwen avèg.
Kòm yon ansyenampPa egzanp, rapò OWASP la site yon rezo sosyal fiksyonèl ki pèmèt entegrasyon ak aplikasyon endepandan twazyèm pati. Pandan ke yo mande konsantman itilizatè final la, rezo sosyal la pa kenbe ase vizibilite nan koule done yo pou anpeche pati ki an aval yo jwenn aksè a done yo, tankou siveye aktivite non sèlman itilizatè a, men tou zanmi li yo.
Atak ansyenamples
An 2013 ak 2014, jiska 300,000 moun te pran yon tès sikolojik sou entènèt sou platfòm Facebook la. Konpayi ki dèyè tès la, Cambridge Analytica, pa sèlman te kolekte enfòmasyon sou itilizatè sa yo, men tou sou zanmi ki lye avèk yo – yon popilasyon ki te rive jiska 87 milyon moun, majorite ladan yo pa t bay pèmisyon pou yo kolekte enfòmasyon yo. Konpayi an te itilize enfòmasyon yo pou adapte piblisite ak mesaj bay moun sa yo nan non kliyan li yo, tankou voye piblisite politik ki sipòte kanpay Trump la.ampkanpay nan eleksyon 2016 la.26 Mank vizibilite Facebook sou fason twazyèm pati yo te itilize enfòmasyon yo te kolekte nan platfòm li a se yon egzanpamppwoblèm jesyon envantè ki pa apwopriye.
Kijan pou anpeche sa antanke devlopè?
Ekip DevSecOps yo ta dwe dokimante tout òdinatè API yo epi konsantre sou kenbe vizibilite nan koule done ant API yo ak sèvis twazyèm pati yo. Prensipal fason pou anpeche move jesyon envantè se dokimantasyon detaye sou aspè kritik tout sèvis ak òdinatè API yo, ki gen ladan enfòmasyon sou ki done yo jere, ki moun ki gen aksè a òdinatè yo ak done yo,
26 Rosenberg, Matthew ak Dance, Gabriel. 'Ou se pwodwi a': Cambridge Analytica vize w sou Facebook. The New York Times. Atik nouvèl. 8 avril 2018.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

20/23

Òganizasyon yo ka jere, kontwole, sekirize epi dokimante itilizasyon API yo lè l sèvi avèk OpenText Secure API Manager pa OpenText, ki pèmèt ekip sekirite aplikasyon yo kenbe yon envantè ajou sou byen API yo.

ak vèsyon API espesifik chak lame. Detay teknik ki ta dwe dokimante yo enkli aplikasyon otantifikasyon an, jesyon erè, defans ki limite vitès, politik pataj resous kwa-orijin (CORS), ak detay sou chak pwen final.
Gwo kantite dokimantasyon an difisil pou jere manyèlman, kidonk li rekòmande pou jenere dokimantasyon atravè pwosesis entegrasyon kontinyèl la epi itilize estanda ouvè. Aksè a dokimantasyon API a ta dwe limite tou pou devlopè ki otorize pou itilize API a.
Pandan faz kreyasyon ak tès aplikasyon an, devlopè yo ta dwe evite itilize done pwodiksyon sou devlopman oswa s.tagvèsyon aplikasyon an pou anpeche flit done. Lè nouvo vèsyon API yo pibliye, ekip DevSecOps la ta dwe fè yon analiz risk pou detèmine pi bon apwòch pou amelyore aplikasyon yo pou pran avantaj.tage nan ogmantasyon sekirite.
Kijan OpenText ka ede w?
Òganizasyon yo ka jere, kontwole, sekirize, epi dokimante itilizasyon API yo lè l sèvi avèk OpenTextTM Secure API Manager, ki pèmèt ekip sekirite aplikasyon yo kenbe yon envantè ajou sou byen API yo. OpenText Secure API Manager bay yon depo otoritatif kote ekip DevSecOps ou a ka estoke ak jere tout API òganizasyon an itilize yo, sa ki pèmèt yon sik lavi fasil pou jere depi devlopman API rive nan retrèt. Lojisyèl la ede amelyore konfòmite avèk règleman ak lisans lè li pèmèt analiz detaye.
API10:2023–Konsomasyon API ki pa an sekirite
Ki sa li ye?
Avèk itilizasyon enfrastrikti nwaj natif natal la k ap ogmante pou kreye aplikasyon, API yo vin tounen pwen entegrasyon ant konpozan aplikasyon yo. Sepandan, sitiyasyon sekirite sèvis twazyèm pati yo jwenn aksè atravè API yo raman klè, sa ki pèmèt atakan yo detèmine sou ki sèvis yon aplikasyon depann epi si nenpòt nan sèvis sa yo gen feblès sekirite. Devlopè yo gen tandans fè konfyans pwen final aplikasyon yo kominike avèk yo san yo pa verifye API ekstèn oswa twazyèm pati yo. Konsomasyon danjere API sa a souvan mennen nan depandans aplikasyon an sou sèvis ki gen kondisyon sekirite ki pi fèb oswa ki pa gen ranfòsman sekirite fondamantal, tankou validasyon done antre.
Ki sa ki fè yon aplikasyon vilnerab?
Devlopè yo gen tandans fè plis konfyans nan done yo resevwa nan API twazyèm pati yo pase nan done itilizatè yo bay, byenke de sous sa yo esansyèlman ekivalan pou yon atakè motive. Akòz move konfyans sa a, devlopè yo esansyèlman fini pa konte sou estanda sekirite ki pi fèb akòz yon mank validasyon ak dezenfeksyon done yo.
Konsomasyon API ki pa an sekirite ka rive si aplikasyon an:
· Itilize oswa konsome lòt API lè l sèvi avèk kominikasyon ki pa chiffres,
· Li pa rive valide epi dezenfekte done ki soti nan lòt API oswa sèvis,
· Pèmèt redireksyon san okenn verifikasyon sekirite, oubyen

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

21/23

Si devlopè a pa kode verifikasyon sekirite nan aplikasyon li an pou verifye nenpòt done ki retounen pa pwen final API a, aplikasyon li an pral swiv redireksyon an epi voye enfòmasyon medikal sansib bay atakè a.
Top 10 Sekirite API OWASP la enpòtan anpil pou devlopè natif natal nan nwaj la k ap bati API. Men, li enpòtan pou adrese vilnerabilite aplikasyon komen yo tankou enjeksyon SQL, ekspozisyon done, ak move konfigirasyon sekirite, paske yo souvan eksplwate pa menas sibernetik yo. Top 10 Sekirite API a se yon pati esansyèl nan devlopman lojisyèl an sekirite men li ta dwe dezyèm apre adrese vilnerabilite aplikasyon jeneral yo.

· Li pa rive limite konsomasyon resous yo lè l sèvi avèk papòt ak delè.
Nan yon ansyenampDapre rapò OWASP la, yon API ki entegre ak yon founisè sèvis twazyèm pati pou estoke enfòmasyon medikal sansib itilizatè a ka voye done prive atravè yon pwen final API. Moun ki atake yo ka konpwomèt lame API twazyèm pati a pou reponn a demann nan lavni ak yon redireksyon pèmanan 308: HTTP/1.1 308 Redireksyon pèmanan
Kote: https://attacker.com/
Si devlopè a pa kode verifikasyon sekirite nan aplikasyon li an pou verifye nenpòt done ki retounen pa pwen final API a, aplikasyon li an pral swiv redireksyon an epi voye enfòmasyon medikal sansib bay atakè a.
Atak ansyenamples
An Desanm 2021, yon seri vilnerabilite nan yon konpozan lojisyèl sous ouvè ki souvan itilize, Log4J, te pèmèt yon atakan bay enfòmasyon ki pa dezenfekte, tankou yon script kode, epi itilize vèsyon vilnerab Log4J pou egzekite script la sou sèvè a. Pwoblèm ki dèyè vilnerabilite Log4J la te soti nan yon mank validasyon done, espesyalman echèk pou fè verifikasyon sekirite sou done deseryalize itilizatè yo te bay. Lè yo voye kòd move serialize, atakan yo te kapab eksplwate vilnerabilite a epi egzekite yon atak sou yon sèvè ki gen vilnerabilite a. Devlopè yo ta dwe tcheke tout done ki bay pa API twazyèm pati yo ak lòt sous ekstèn yo.27
Kijan pou anpeche li vin yon devlopè?
Devlopè yo ta dwe fè dilijans nesesè lè y ap evalye founisè sèvis yo, lè y ap evalye pozisyon sekirite API yo epi lè y ap aplike kontwòl sekirite strik. Anplis de sa, devlopè yo ta dwe konfime ke tout kominikasyon ak API twazyèm pati yo ak soti nan twazyèm pati pou ale nan API òganizasyon an itilize yon kanal kominikasyon an sekirite pou anpeche atak espyonaj ak repetisyon.
Lè w ap resevwa done ki soti nan itilizatè ak machin ekstèn, ou ta dwe toujou dezenfekte antre yo pou anpeche ekzekisyon kòd san w pa vle. Finalman, pou sèvis nwaj entegre atravè API yo, ou ta dwe itilize lis otorizasyon pou bloke adrès solisyon entegre a, olye pou w pèmèt nenpòt adrès IP rele API aplikasyon an san w pa konnen.
Kijan OpenText ka ede w?
Lè yo konbine fonksyon analiz kòd estatik ak API OpenText Static Application Security Testing yo ak verifikasyon ekzekisyon OpenText Dynamic Application Security Testing (DAST) la, ekip DevSecOps yo ka tcheke itilizasyon API twazyèm pati pa aplikasyon yo epi teste kalite atak komen yo. Pou jwenn API ki pa an sekirite, OpenText Secure API Manager ka bati yon depo tout API sistèm nan rele yo ansanm ak aplikasyon ekstèn ki ka itilize API aplikasyon w lan.
27 Microsoft Threat Intelligence. Gid pou anpeche, detekte, ak chase eksplwatasyon vilnerabilite Log4j 2 la. Microsoft. Web paj. Mizajou: 10 janvye 2022.

Gid pou Devlopè pou Top 2023 OWASP 10 pou Sekirite API

22/23

Ki kote yo ale pwochen
Men pwodwi yo mansyone nan dokiman sa a: OpenText Application Security >
Tès Sekirite Aplikasyon Estatik OpenText >
Tès Sekirite Aplikasyon Dinamik OpenText >
Manadjè API an sekirite OpenText >
Resous adisyonèl OWASP Top 10 Risk Sekirite API yo–2023 >
Gartner Magic Quadrant pou Tès Sekirite Aplikasyon yo >
Sekirite aplikasyon OpenText WebSeri inar >

Top 10 Sekirite API a pa sifi!
Pou devlopè natif natal nan nwaj la ki espesyalman konsantre sou kreye API pou ofri sèvis bay lòt pati nan yon aplikasyon, itilizatè entèn, oswa pou konsomasyon mondyal, lis 10 pi bon sekirite API OWASP la se yon dokiman enpòtan pou li epi konprann.
Sepandan, OWASP API Security Top 10 la pa yon dokiman apa. Devlopè yo bezwen asire tou ke yo itilize lòt sous pi bon pratik, tankou OWASP Top 10 la, ki enpòtan pou aplikasyon ak achitekti aktyèl yo a. Vilnerabilite aplikasyon komen yo - enjeksyon SQL, ekspozisyon done, ak move konfigirasyon sekirite - kontinye ap fason komen ke gwoup menas sibernetik yo ka konpwomèt enfrastrikti antrepriz la epi yo ta dwe korije yo rapidman. Anplis de sa, kèk aplikasyon ki baze sou API, tankou aplikasyon mobil yo, mande diferan etap ranfòsman appsec pase yon dokiman apa. web-app, epi diferan de sa ki ka nesesè pou aparèy konekte ak IoT yo. An jeneral, lis 10 pi bon sekirite API yo enpòtan, men li rete sèlman yon aspè nan sik lavi devlopman lojisyèl an sekirite an jeneral. Lis la, ak lis 10 pi bon OWASP yo, ta dwe itilize ansanm ak nenpòt lòt estanda ak pi bon pratik ki nesesè pou solisyon an anba analiz la.
Konklizyon
Kòm aplikasyon yo de pli zan pli depann sou enfrastrikti nwaj la, web Entèfas pwogramasyon aplikasyon (API) yo vin tounen fondasyon Entènèt la. Konpayi yo tipikman gen dè santèn, si se pa dè milye, de pwen final API nan anviwònman yo, sa ki ogmante sifas atak yo anpil epi ekspoze aplikasyon yo a yon varyete feblès.
Piblikasyon lis 2023 pi bon sekirite API OWASP 10 la se yon bon pwen depa pou konpayi yo ak devlopè yo edike tèt yo sou risk ki genyen nan enfrastrikti ki baze sou API epi evalye pwòp aplikasyon yo. Ansanm ak lis 10 pi bon sekirite aplikasyon an ki pi byen koni an, de klasman sa yo ka ede ekip DevSecOps yo devlope yon apwòch holistic pou sekirite jeneral aplikasyon yo.
Ekip DevSecOps yo bezwen okouran de enplikasyon sekirite API yo, kijan pou diminye vilnerabilite ak feblès sekirite yon aplikasyon, epi kijan pou ranfòse pwosesis devlopman yo ak sèvè API ki soti a pou fè li pi difisil pou atakè yo konpwomèt yon aplikasyon atravè API li yo.

Copyright © 2025 Open Text · 04.25 | 262-000177-001

Dokiman / Resous

OpenText 262-000177-001 OWASP Top 10 pou Sekirite API [pdfManyèl Itilizatè
262-000177-001, 262-000177-001 OWASP Top 10 Pou Sekirite API, 262-000177-001, OWASP Top 10 Pou Sekirite API, Pou Sekirite API, Sekirite API, Sekirite

Referans

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *