安全陷阱以避免使用API​​编程时

欧平安’S API安全项目已发布其前10名API安全风险列表。

API安全风险

最常见和最危险的API安全风险

API滥用 是一个持续的问题,预计未来几年将升级,因为API实施的数量持续增长。

欧平安 API安全项目旨在提供软件开发人员和代码审计师,其中包含不安全API所带来的风险的信息。

本月早些时候,他们’VE发布了官方OWASP API安全性排名前10个列表,它看起来像这样:

1.破碎的对象级别授权
2.破坏的用户身份验证
3.过度数据曝光
4.缺乏资源& Rate Limiting
5.破碎功能级别授权
6.大众分配
7.安全错误配置
8.注射
9.资产管理不当
10.伐木不足& Monitoring

每个风险都具有解释,示例攻击方案以及如何减轻它的建议。它还包括用于开发人员和Devsecops从业者的有用的免费资源(教育材料,指南,备忘单)的链接。

文件 可以从github下载.

“有问题看起来简单,但很重要,如很好的家务和记录API。还有复杂的访问控制问题可能需要从设计阶段进行一些关注,”CheckMarx安全研究总监Erez Yalon和OWASP API安全项目联合领导,告诉净安全。

“要简单地说明,请密切关注此列表–OWASP已经为开发团队和安全专业人员做了基础,以提高他们在实施API时留意安全风险的知识。了解内部漏洞的漏洞将有助于团队减轻 API安全 风险和将系统放入到位前进。”

未来的计划

该列表的第一个版本一直基于关于API安全事件,安全专家的公开数据’与安全从业者的贡献和讨论。

“我们计划在2020年的OWASP API安全性排名前10的另一个版本,” he noted.

“此时,除了使用Appsec社区的知识外,我们还将使用公共呼叫进行数据,使我们能够微调列表。此外,我们将在一个备忘上工作,这将是开发人员,笔 - 测试人员和审计师的更实用指南。”

由于对手将其视力设置在这一新兴目标,在OWASP API安全性排名前10名列表中概述的安全陷阱周围的认识和教育将成为未来安全应用的开发的关键。

分享这个