应用程序接口安全是指实施保护措施来保护应用程序接口及其传输的数据,最终防止未经授权的访问并确保软件系统和服务的可靠性。它对于保护您的数据和应用程序免遭未经授权的访问、数据修改或破坏至关重要。本文探讨了开发人员如何保护应用程序接口的最佳实践
随着现代软件开发越来越依赖应用程序接口(API),API 已成为网络攻击的主要目标。在 Palo Alto 于 2023 年进行的一项调查中,92% 的参与研究组织在过去一年中至少遇到过一次与 API 相关的安全事件。在这些企业中,57%的企业遇到过多次与 API 相关的安全事件。让我们来讨论一下风险以及如何避免风险。
OWASP API 安全风险
开放式网络应用程序安全项目(OWASP)是一个致力于提高软件安全性的非营利性组织。它提供各种资源,包括指南、工具和最佳实践,以帮助开发人员和组织提高应用程序的安全性。该组织旨在提高人们对应用程序安全问题的认识,并提供切实可行的解决方案来降低风险。
2019 年,该组织在年度报告中增加了安全 API Top 10 榜单。该榜单确定了 API 安全十大风险,为开发人员提供指导,让他们全面了解 API 生态系统中普遍存在的威胁。OWASP 维护十大 API 风险,最新版本于 2023 年发布。
| OWASP API 2019 年十大风险列表 | OWASP API 2023 年十大风险列表 |
|---|---|
| 1. 被破坏的对象级授权 | 1. 被破坏的对象级授权 |
| 2. 被破损的用户身份验证 | 2. 失灵的身份验证 |
| 3. 数据过度暴露 | 3. 对象属性级授权失效 |
| 4. 缺乏资源和速率限制 | 4. 不受限制的资源消耗 |
| 5. 功能级授权失效 | 5. 功能级授权失效 |
| 6. 大规模分配 | 6. 不受限制地访问敏感业务流 |
| 7. 安全配置错误 | 7. 服务器端请求伪造 |
| 8. 注入 | 8. 安全配置错误 |
| 9. 资产管理不当 | 9. 库存管理不当 |
| 10. 日志记录和监控不足 | 10. 不安全地使用 API |
原文地址:https://www.wbolt.com/best-practices-for-robust-api-security.html
