Прежде всего, важно отметить, что OWASP API TOP10 2023 выделяет ключевые риски, связанные с безопасностью API (Application Programming Interface). Приведем краткое описание каждого из десяти рисков:
- Broken Object Level Authorization (API1:2023) – Нарушение авторизации на уровне объекта
- Опасность: Экспозиция конечных точек, обрабатывающих идентификаторы объектов, что создает обширную атаку на уровне доступа к объектам.
- Рекомендация: Проверка авторизации на уровне объекта должна рассматриваться в каждой функции, обращающейся к источнику данных, используя идентификатор пользователя.
- Broken Authentication (API2:2023) – Нарушение аутентификации
- Опасность: Некорректная реализация механизмов аутентификации, что позволяет злоумышленникам компрометировать токены аутентификации или использовать ошибки в реализации для временного или постоянного предположения личности других пользователей.
- Рекомендация: Компрометация системы для идентификации клиента/пользователя угрожает общей безопасности API.
- Broken Object Property Level Authorization (API3:2023) – Нарушение авторизации на уровне свойств объекта
- Опасность: Объединение проблем API3:2019 Excessive Data Exposure и API6:2019 – Mass Assignment, фокусирующихся на основной причине – отсутствие или неправильная проверка авторизации на уровне свойств объекта.
- Рекомендация: Это приводит к экспозиции или манипуляции информацией неавторизованными сторонами.
- Unrestricted Resource Consumption (API4:2023) – Неограниченное потребление ресурсов
- Опасность: Удовлетворение запросов API требует ресурсов, таких как сетевая пропускная способность, ЦП, память и хранилище. Успешные атаки могут привести к отказу в обслуживании или увеличению операционных расходов.
- Рекомендация: Необходимо внимательно контролировать потребление ресурсов API.
- Broken Function Level Authorization (API5:2023) – Нарушение авторизации на уровне функций
- Опасность: Сложные политики контроля доступа с различными иерархиями, группами и ролями, а также нечетким разделением между административными и обычными функциями, обычно приводят к ошибкам авторизации.
- Рекомендация: Злоумышленники могут получить доступ к ресурсам других пользователей и/или административным функциям.
- Unrestricted Access to Sensitive Business Flows (API6:2023) – Неограниченный доступ к чувствительным бизнес-процессам
- Опасность: Уязвимые API экспонируют бизнес-процесс – такой как покупка билета или размещение комментария – без учета того, как эта функциональность может повредить бизнес при ее избыточном использовании в автоматизированном режиме.
- Рекомендация: Необходимо компенсировать потенциальный вред, предполагая, как функциональность может быть использована.
- Server Side Request Forgery (API7:2023) – Forgery запросов на стороне сервера
- Опасность: Недостаточная валидация предоставленного пользователем URI при запросе API удаленного ресурса, что позволяет злоумышленнику направить приложение отправить поддельный запрос в неожиданное место.
- Рекомендация: Внимательная валидация URI пользователя, особенно когда приложение защищено брандмауэром или VPN.
- Security Misconfiguration (API8:2023) – Неправильная конфигурация безопасности
- Опасность: API и поддерживающие их системы обычно содержат сложные конфигурации для увеличения их настраиваемости. Ошибки конфигурации или несоблюдение лучших практик безопасности открывают двери для различных видов атак.
- Рекомендация: Необходимо внимательно следить за конфигурациями и следовать лучшим практикам безопасности.
- Improper Inventory Management (API9:2023) – Неправильное управление инвентарем
- Опасность: API часто экспонируют больше конечных точек, чем традиционные веб-приложения, делая актуальную и обновленную документацию чрезвычайно важной.
- Рекомендация: Необходимо вести точный учет хостов и развернутых версий API, чтобы избежать проблем, таких как устаревшие версии API и экспонированные отладочные конечные точки.
- Unsafe Consumption of APIs (API10:2023) – Небезопасное использование API
- Опасность: Разработчики зачастую доверяют данным, полученным из сторонних API, больше, чем пользовательским вводам, и, следовательно, могут принимать менее строгие стандарты безопасности.
- Рекомендация: Злоумышленники направляют свои атаки на интегрированные сторонние службы вместо того, чтобы пытаться скомпрометировать целевое API напрямую.
OWASP TOP10 API 2023:
- API1:2023 – Нарушение авторизации на уровне объекта
- API2:2023 – Нарушение аутентификации
- API3:2023 – Нарушение авторизации на уровне свойств объекта
- API4:2023 – Неограниченное потребление ресурсов
- API5:2023 – Нарушение авторизации на уровне функций
- API6:2023 – Неограниченный доступ к чувствительным бизнес-процессам
- API7:2023 – Forgery запросов на стороне сервера
- API8:2023 – Неправильная конфигурация безопасности
- API9:2023 – Неправильное управление инвентарем
- API10:2023 – Небезопасное использование API