Обновленный топ-10 безопасности API OWASP на 2023 год уже здесь
Главная » Сеть блоггеров по безопасности » Обновленный топ-10 безопасности API OWASP на 2023 год уже здесь
Open Web Application Security Project (OWASP) — это глобальная некоммерческая организация, занимающаяся повышением безопасности программного обеспечения. Фонд OWASP впервые опубликовал список 10 основных угроз безопасности, с которыми столкнулись API в 2019 году. После пары месяцев здоровых дебатов о кандидате на выпуск у нас теперь есть окончательный обновленный список на 2023 год. (https://owasp.org/ API-Security/editions/2023/en/0x11-t10/)
Хотя 4 года — это чрезвычайно долгий срок, когда дело касается вычислений, факт остается фактом: большинство организаций все еще находятся в процессе внедрения более эффективных средств контроля безопасности API для защиты от Топ-10 2019 года. Кроме того, помните, что список содержит десять категорий. уязвимостей, причем каждая категория содержит несколько уязвимостей.
Сравнивая списки, неудивительно, что RC 2023 года остается достаточно близким к списку 2019 года, да и финальная версия существенно не изменилась. Хотя номер 1 остается прежним, остальная часть списка имеет новый язык, новые категории и перетасовку тех, которые остались из версии 2019 года.
API1:2019 Авторизация на уровне сломанного объекта
API1:2023RC Авторизация на уровне сломанного объекта
API1:2023 – Авторизация на уровне сломанного объекта
API2:2019 Сломанная аутентификация пользователя
API2:2023RC сломанная аутентификация
API2:2023 – Сломанная аутентификация
API3:2019 Чрезмерное раскрытие данных
API3:2023RC Авторизация на уровне свойства сломанного объекта
API3:2023 – Авторизация на уровне свойства сломанного объекта
API4:2019 Недостаток ресурсов и ограничение скорости
API4:2023RC Неограниченное потребление ресурсов
API4:2023 – Неограниченное потребление ресурсов
API5:2019 Авторизация на сломанном функциональном уровне
API5:2023RC Авторизация на сломанном функциональном уровне
API5:2023 – Авторизация на сломанном функциональном уровне
API6:2019 Массовое назначение
API6:2023RC Подделка запроса на стороне сервера
API6:2023 – Неограниченный доступ к конфиденциальным бизнес-потокам
API7:2019 Неправильная конфигурация безопасности
API7:2023RC Неправильная конфигурация безопасности
API7:2023 – Подделка запроса на стороне сервера
API8:2019 Инъекция
API8:2023RC Отсутствие защиты от автоматизированных угроз
API8:2023 – Неправильная конфигурация безопасности
API9:2019 Неправильное управление активами
API9:2023RC Неправильное управление активами
API9:2023 – Неправильное управление запасами
API10:2019 Недостаточное ведение журнала и мониторинг
API10:2023RC Небезопасное использование API
API10:2023 – Небезопасное использование API
Как и в случае с версией 2019 года, кандидат на выпуск 2023 года по-прежнему твердо уверен в том, что атаки на основе бизнес-логики с использованием неправомерных реализаций авторизации (BOLA) остаются самой большой категорией риска для API сегодня и в обозримом будущем.
API потенциально обслуживает множество пользователей и обеспечивает доступ к множеству фрагментов данных, зачастую конфиденциальных. Эти разные пользователи и типы пользователей, естественно, имеют разные политики доступа к данным в зависимости от потребностей бизнеса. С точки зрения проектирования и разработки API по-прежнему сложно создать API, который правильно применяет эти детальные политики авторизации. Мы наблюдаем это ежедневно, когда клиенты тестируют свой код с помощью нашего решения для активного тестирования.
Новый список также объединяет две существующие категории в рамках API3:2023RC BOPLA (авторизация на уровне свойства сломанного объекта). В списке 2019 года они были разделены на:
Уязвимость BOPLA очевидна, когда пользователю предоставляется доступ к объекту с помощью конечной точки API без проверки наличия у пользователя доступа к конкретным свойствам объекта, к которым он пытается получить доступ.
Новинкой в списке 2023 года, несколько заимствованной из существующего списка OWASP Top 10 2021 года, является API6:2023RC Server-Side Request Forgery (https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/).
Ошибки подделки запросов на стороне сервера (SSRF) возникают всякий раз, когда API извлекает удаленный ресурс без проверки URL-адреса, предоставленного пользователем. Это позволяет злоумышленнику заставить приложение отправить созданный запрос в неожиданный пункт назначения, даже если оно защищено брандмауэром или VPN. Использование современных концепций, таких как веб-перехватчики, получение файлов по URL-адресам, настраиваемый единый вход и предварительный просмотр URL-адресов, побуждает разработчиков получать доступ к внешнему ресурсу на основе пользовательского ввода, что повышает потенциальный риск. Кроме того, такие концепции, как архитектуры на основе микросервисов, предоставляют элементы плоскости контроля/управления через HTTP с использованием хорошо известных путей, что делает их более легкой добычей.