点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
2023年6月5日,OWASP正式发布了2023版API安全Top 10 列表。 首版 OWASP API Security Top 10 发布于2019年,今年2月时,OWASP曾发布过一个候选版(Candidate),现在终于等到了正式稳定版(stable version)! 该列表与2019版有许多相似之处,但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化;但它们在进化,我们对它们的理解也在进化。2023 年的清单证明了这一点——与其说是新清单,不如说是对现有清单的改进。 API1:2023 - Broken Object Level Authorization 对象级别授权失效
描述:APIs往往公开处理对象标识符的端点,从而创建了一个广泛的攻击面,存在对 象级访问控制问题。在使用用户提供的ID访问数据源的每个功能中,应考虑对象级授权检查。 API2:2023 - Broken Authentication 认证失效
描述:身份验证机制通常实施不当,使攻击者能够破坏身份验证令牌或利用实施缺陷暂时或永久地冒用其他用户的身份。损害系统识别客户端/用户的能力,会损害 API 的整体安全性。 API3:2023 - Broken Object Property Level Authorization 对象属性级别授权失效
描述:该类别结合了API3:2019 Excessive Data Exposure和API6:2019 - Mass Assignment,关注根本原因:对象属性级别的授权验证缺失或不当。这会导致信息暴露或被未授权方篡改。 API4:2023 - Unrestricted Resource Consumption 不受限的资源消耗
描述:满足API请求需要网络带宽、CPU、内存和存储等资源。其他资源,如电子邮件/SMS/电话或生物识别验证,通过API集成由服务提供商提供,并按请求付费。成功的攻击可能导致拒绝服务或增加运营成本。 API5:2023 - Broken Function Level Authorization 功能级授权失效
描述:复杂的访问控制策略涉及不同的层级、组和角色,并且在管理和常规功能之间没有明确的分离,往往会导致授权漏洞。通过利用这些问题,攻击者可以访问其他用户的资源和/或管理功能。 API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限访问敏感业务流
描述:易受此风险影响的API会暴露出一种业务流程,比如购买车票或发表评论,而没有考虑到如果以自动化的方式过度使用该功能会对业务造成损害。这不一定是由于实施中的错误引起的。 API7:2023 - Server Side Request Forgery 服务器端请求伪造
描述:当API在未验证用户提供的 URI 的情况下获取远程资源时,可能会出现服务器端请求伪造 (SSRF) 缺陷。这使攻击者能够强制应用程序将精心设计的请求发送到意想不到的目的地,即使受到防火墙或 VPN 的保护。 API8:2023 - Security Misconfiguration 安全配置错误
描述:API和支持它们的系统通常包含复杂的配置,旨在使API更具可定制性。软件和DevOps工程师可能会忽视这些配置,或在配置方面不遵循安全最佳实践,从而为不同类型的攻击打开了大门。 API9:2023 - Improper Inventory Management 存量资产管理不当
描述:API往往比传统的Web应用程序暴露更多的端点,因此正确和更新的文档非常重要。对主机和部署的API版本进行适当的清单管理也很重要,以减轻诸如废弃的API版本和暴露的调试端点等问题。 API10:2023 - Unsafe Consumption of APIs API的不安全使用
描述:开发人员倾向于更信任来自第三方API的数据,而不是用户输入,因此他们倾向于采用较弱的安全标准。为了破坏API,攻击者会攻击集成的第三方服务,而不是直接尝试破坏目标API。
API Security Top 10(2019)与
API Security Top 10(2023)
该列表与 2019 年十大 API 安全风险相比有不少变化。与2019年相比,OWASP API Security T op 10(2023)所呈现出的风险变化如下:
对象级别授权失败 (BOLA)、功能级别授权失败 (BFLA) 和安全配置错误是 2023 年列表中三个不变的 OWASP 十大 API 漏洞类别。他们在名单上的位置保持不变。
OWASP API Top 10 2023 新增对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。
用户身份认证失败(Broken User Authentication )修改为身份认证失败 (Broken Authentication), 并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。
损 坏的对象属性级别授权( Broken Object Property Level Authorization), 在最新列表中排名第 3,结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。 这两个漏洞都强调需要正确保护 API参数 ,以防止威胁参与者未经授权的访问和利用。
资源访问无限制(Lack of Resources and Rate Limiting )重命名为资源消耗无限制(Unrestricted Resource Consumption)。 以前,重点只放在漏洞上,但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果。
日志和监控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection) 已从 OWASP API Top 10 2023 列表中删除。
AutoSec 2023 第七届中国汽车网络安全周暨第四届智能汽车数据安全展,9月13-15日,上海
更多文章
智能网联汽车信息安全综述
华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考 汽车数据合规要点 车载以太网技术发展与测试方法 车载以太网防火墙设计 SOA:整车架构下一代的升级方向 软件如何「吞噬」汽车?
汽车信息安全 TARA 分析方法实例简介
汽车FOTA信息安全规范及方法研究
联合国WP.29车辆网络安全法规正式发布
滴滴下架,我却看到数据安全的曙光
从特斯拉被约谈到车辆远程升级(OTA)技术的合规
如何通过CAN破解汽
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全 、功能安全 、自动驾驶 、TARA 、渗透测试 、SOTIF 、WP.29 、以太网 、物联网安全 等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
