OWASP TOP 10 API На Русском

Прежде всего, важно отметить, что OWASP API TOP10 2023 выделяет ключевые риски, связанные с безопасностью API (Application Programming Interface). Приведем краткое описание каждого из десяти рисков:

  1. Broken Object Level Authorization (API1:2023) – Нарушение авторизации на уровне объекта
    • Опасность: Экспозиция конечных точек, обрабатывающих идентификаторы объектов, что создает обширную атаку на уровне доступа к объектам.
    • Рекомендация: Проверка авторизации на уровне объекта должна рассматриваться в каждой функции, обращающейся к источнику данных, используя идентификатор пользователя.
  2. Broken Authentication (API2:2023) – Нарушение аутентификации
    • Опасность: Некорректная реализация механизмов аутентификации, что позволяет злоумышленникам компрометировать токены аутентификации или использовать ошибки в реализации для временного или постоянного предположения личности других пользователей.
    • Рекомендация: Компрометация системы для идентификации клиента/пользователя угрожает общей безопасности API.
  3. Broken Object Property Level Authorization (API3:2023) – Нарушение авторизации на уровне свойств объекта
    • Опасность: Объединение проблем API3:2019 Excessive Data Exposure и API6:2019 – Mass Assignment, фокусирующихся на основной причине – отсутствие или неправильная проверка авторизации на уровне свойств объекта.
    • Рекомендация: Это приводит к экспозиции или манипуляции информацией неавторизованными сторонами.
  4. Unrestricted Resource Consumption (API4:2023) – Неограниченное потребление ресурсов
    • Опасность: Удовлетворение запросов API требует ресурсов, таких как сетевая пропускная способность, ЦП, память и хранилище. Успешные атаки могут привести к отказу в обслуживании или увеличению операционных расходов.
    • Рекомендация: Необходимо внимательно контролировать потребление ресурсов API.
  5. Broken Function Level Authorization (API5:2023) – Нарушение авторизации на уровне функций
    • Опасность: Сложные политики контроля доступа с различными иерархиями, группами и ролями, а также нечетким разделением между административными и обычными функциями, обычно приводят к ошибкам авторизации.
    • Рекомендация: Злоумышленники могут получить доступ к ресурсам других пользователей и/или административным функциям.
  6. Unrestricted Access to Sensitive Business Flows (API6:2023) – Неограниченный доступ к чувствительным бизнес-процессам
    • Опасность: Уязвимые API экспонируют бизнес-процесс – такой как покупка билета или размещение комментария – без учета того, как эта функциональность может повредить бизнес при ее избыточном использовании в автоматизированном режиме.
    • Рекомендация: Необходимо компенсировать потенциальный вред, предполагая, как функциональность может быть использована.
  7. Server Side Request Forgery (API7:2023) – Forgery запросов на стороне сервера
    • Опасность: Недостаточная валидация предоставленного пользователем URI при запросе API удаленного ресурса, что позволяет злоумышленнику направить приложение отправить поддельный запрос в неожиданное место.
    • Рекомендация: Внимательная валидация URI пользователя, особенно когда приложение защищено брандмауэром или VPN.
  8. Security Misconfiguration (API8:2023) – Неправильная конфигурация безопасности
    • Опасность: API и поддерживающие их системы обычно содержат сложные конфигурации для увеличения их настраиваемости. Ошибки конфигурации или несоблюдение лучших практик безопасности открывают двери для различных видов атак.
    • Рекомендация: Необходимо внимательно следить за конфигурациями и следовать лучшим практикам безопасности.
  9. Improper Inventory Management (API9:2023) – Неправильное управление инвентарем
    • Опасность: API часто экспонируют больше конечных точек, чем традиционные веб-приложения, делая актуальную и обновленную документацию чрезвычайно важной.
    • Рекомендация: Необходимо вести точный учет хостов и развернутых версий API, чтобы избежать проблем, таких как устаревшие версии API и экспонированные отладочные конечные точки.
  10. Unsafe Consumption of APIs (API10:2023) – Небезопасное использование API
    • Опасность: Разработчики зачастую доверяют данным, полученным из сторонних API, больше, чем пользовательским вводам, и, следовательно, могут принимать менее строгие стандарты безопасности.
    • Рекомендация: Злоумышленники направляют свои атаки на интегрированные сторонние службы вместо того, чтобы пытаться скомпрометировать целевое API напрямую.

OWASP TOP10 API 2023:

  • API1:2023 – Нарушение авторизации на уровне объекта
  • API2:2023 – Нарушение аутентификации
  • API3:2023 – Нарушение авторизации на уровне свойств объекта
  • API4:2023 – Неограниченное потребление ресурсов
  • API5:2023 – Нарушение авторизации на уровне функций
  • API6:2023 – Неограниченный доступ к чувствительным бизнес-процессам
  • API7:2023 – Forgery запросов на стороне сервера
  • API8:2023 – Неправильная конфигурация безопасности
  • API9:2023 – Неправильное управление инвентарем
  • API10:2023 – Небезопасное использование API