文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

API应用安全性自检清单

2024-11-30 11:00

关注

2023年API安全事件

API安全公司FireTail认为,2023年将成为API泄露事件创纪录的一年。根据该公司的监测,今年以来已有超过5亿条数据信息因为易受攻击的API应用而导致了泄露,其中较为严重的API安全事件包括:

API应用安全挑战

根据Enterprise Strategy Group公司对超过400家企业的调研统计,有超过92%的组织在过去12个月里至少经历了一次与API相关的安全事件,而导致API应用安全事件日益普遍的原因主要包括:API生态系统的规模、应用复杂性和快速变化的本质。

研究人员发现,面对API应用快速增长,企业组织最担忧的问题是缺少对API访问行为的有效认证和控制。在不久前刚刚更新的2023年度“OWASP TOP 10 API安全风险”清单中,和身份验证和授权相关的安全风险有四个。而FireTail API数据泄露跟踪报告的相关数据也显示,在今年所监测到的12起公共API应用数据泄露事件中,每一起都涉及至少一个身份验证或授权方面的安全漏洞。

API安全应用的另一个重要挑战是如何识别其中的关键数据以及如何监控这些数据在API生态系统中安全地流动。为了保证安全性,企业组织需要弄清楚他们最敏感的数据是什么、在哪里、谁可以访问,并根据这些信息来设计API的安全性。不幸的是,很多公司需要手动操作来完成以上工作,这是一个缓慢且易出错的过程,也无法真正理解API与其所连接的数据之间的逻辑关系。

缺乏可见性也是API安全应用的主要挑战。毕竟,我们无法保护自己看不见的东西。在企业中,除了API应用的开发者,很少有人会意识到这些API的存在,这使得大量的API缺少维护,并经常容易被忽略。当组织缺乏适当的API可见性、治理机制和生命周期策略时,僵尸、影子和幽灵等可怕的API威胁就会出现。

最后,企业对API应用安全的保障能力存在不足。调查数据显示,尽管有74%的受访企业表示他们已经部署了API安全工具,但事实上并未形成有效的防护能力。很多传统API管理工具,缺乏解决API特有漏洞所需的具体功能,也无法提供检测特定API攻击(比如撞库攻击和蛮力破解)所需的可见性。

API安全性自查清单

企业需要寻求更加有效API安全防护策略和方法,以减少API安全治理的复杂性和管理成本。

参考2023年度“OWASP TOP 10 API安全风险”清单,安全研究人员总结梳理了一份易于遵循的API安全性检查清单,通过全面的API安全风险检查,企业可以有效提升API应用的安全性。

OWASP - A1 :对象级授权

  1. 验证是否使用用户策略和层次结构实现授权检查; 
  2. 验证API是否需要依赖于从客户端发送的身份ID,API应用应该检查会话中存储对象的ID; 
  3. 验证服务器配置是否按照所使用的应用服务器和框架的建议进行了加固; 
  4. 验证API是否实现了在每次客户端请求访问数据库时检查授权; 
  5. 验证API没有使用随机猜测ID(UUID)。 

OWASP - A2:破损的认证

  1. 验证是否全面认证所有API; 
  2. 验证密码重置API和一次性链接是否允许用户一起进行身份验证,并受到严格保护; 
  3. 验证API是否实现标准的身份验证,令牌生成,密码存储和多因素身份验证; 
  4. 验证API是否使用了短期访问令牌; 
  5. 验证API是否使用了严格的速率限制身份验证,并实现锁定策略和弱密码检查。

OWASP - A3:过度的数据暴露

  1. 验证API是否依赖于客户端来过滤数据; 
  2. 验证API响应性,并根据API使用者的实际需要调整响应; 
  3. 验证API规范性,定义所有请求和响应的模式; 
  4. 验证错误API响应是否已经明确定义; 
  5. 验证所有敏感或PII信息的使用是否有明确的理由; 
  6. 验证API强制响应检查措施,以防止意外的数据和异常泄漏。

OWASP - A4:缺乏资源和速率限制

  1. 验证是否根据API方法、客户端和地址配置了速率限制; 
  2. 验证有效载荷限制是否已配置; 
  3. 在执行速率限制时验证压缩比;
  4. 验证计算/容器资源上下文中的速率限制。 

OWASP - A5:无效的功能级授权

  1. 验证默认情况下是否能够拒绝所有访问; 
  2. 验证API是否依赖于应用程序来强制管理访问; 
  3. 验证所有不需要的功能是否都被禁用; 
  4. 验证计算/容器资源内容中的速率限制是否有效; 
  5. 确保仅根据特定角色授予角色; 
  6. 验证授权策略是否在API中正确实现。

OWASP - A6:批量分配

  1. 验证API是否自动绑定传入数据和内部对象; 
  2. 验证API是否显示定义组织期望的所有参数和有效负载; 
  3. 验证API在设计时是否精确定义了访问请求中接受的模式、类型和模式,并在运行时强制执行它们。

OWASP - A7:安全配置错误

  1. 验证API实现是否可重复,并且加固和修复活动已纳入开发过程;
  2. 验证API生态系统是否具有自动定位配置缺陷的过程; 
  3. 验证平台是否在所有API中禁用了不必要的功能; 
  4. 验证API安全系统是否可以限制管理访问; 
  5. 验证所有的输出是否安全,包括错误的输入; 
  6. 验证授权策略是否在API中正确实现。

OWASP - A8:请求伪造  

  1. 验证API对各类消费者的信任机制是否正确,即使是对内部员工的; 
  2. 验证API是否严格定义所有输入数据:模式、类型、字符串模式,并在运行时强制执行; 
  3. 验证API是否可以对所有传入数据进行验证、过滤和阻断; 
  4. 验证API是否定义、限制和执行API输出,以防止数据泄漏。

OWASP - A9:资产管理不当

  1. 验证平台能否限制访问任何不应公开的内容;  
  2. 验证API应用架构是否具备额外的外部安全控制,如API防火墙; 
  3. 验证一个API应用进程是否被有效地管理; 
  4. 验证架构是否实现严格的API身份验证、重定向等。

OWASP - A10:日志记录和监控不足

  1. 验证API日志的完整性和准确性; 
  2. 验证日志格式是否可以被其他工具有效使用; 
  3. 验证API应用管理平台是否对敏感日志进行了有效保护; 
  4. 验证API应用平台是否包含足够的详细信息以识别攻击者; 
  5. 验证平台与SIEM等其他安全工具是否可以协同、集成。

参考链接:https://gbhackers.com/api-security-checklist/

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯