从2023年OWASP API Security Top 10看当下重点关注的API风险

原创 威胁猎人 威胁猎人Threat Hunter

6月，OWASP正式发布了2023年API安全Top 10列表。

与2019年发布的列表相比，2023年进一步强调了API攻击场景与Web攻击的差异化，突出API授权管理、资产管理、业务风控及第三方问题。

首先，我们通过一张图看一下2019年版本与2023年版本的主要区别：

接下来，威胁猎人将针对2023年版本API风险清单的“更新”及“新增”风险进行重点解读：

一、“更新”的API风险（2023年版本）

2023年OWASP API Security Top 10 中，“更新”的API风险主要包括：API3、API4、API9，其中：

1、API3-对象属性级别授权失效：“对象属性级别授权失效”整合了2019版本的API3-过度数据暴露和API6-批量分配，这两种技术都基于API端点操作来获得对敏感数据的访问。

2、API4-资源消耗无限制：“资源消耗无限制”替代了2019版本的API4-缺乏资源&速率限制，尽管名称做了更改，该漏洞总体上保持不变。

2023年版本表达的含义更加准确，之前的名称容易让人将关注点集中在“速率限制”上，而速率限制只是防止资源过度消耗的方式之一。

3、API9-库存管理不当：“库存管理不当”替代了2019版本的API9-资产管理不当，虽然名称已经改变，但风险仍然是一样的，2023年版本更加强调精准管理、及时更新API库存的重要性。

从2023年“更新”的API风险来看，整体变化不大，重点强调了“授权”相关API风险，将授权类的API安全风险明确分为了3类，分别对应不同的级别，且排名都很靠前：

第1名：对象级别（Object Level）

第3名：对象属性级别（Object Property Level）

第5名：功能级别（Function Level）

针对授权类的API安全风险的明确分类，威胁猎人安全研究专家认为：一方面，是提醒安全开发人员在设计API接口的授权机制时，需要考虑到这些不同的级别；另一方面，也说明“授权类缺陷”是整体危害性最大的一类API安全缺陷。

2022至2023年，威胁猎人Karma风险情报平台就曾捕获过多起利用未授权访问缺陷，大规模窃取公民个人隐私和企业敏感数据的API攻击案例。

二、“新增”的API风险（2023年版本）

2023年OWASP API Security Top 10 中，“新增”的API风险包括：API6、API7、API10：

API6-不受限制地访问敏感业务流：当API暴露了一个业务流，攻击者利用API背后的业务逻辑找到敏感的业务流，并通过自动化过度使用该功能时，则会对业务造成损害。

API7-服务器端请求伪造：当用户控制的URL通过API传递并由后端服务器执行和处理时，就会发生这种情况，可能带来未经授权的数据泄露、数据篡改、服务中断等后果。

API10-API 的不安全使用：API的不安全使用，例如绕过API身份验证的安全控制等，可能导致未经授权的访问和数据暴露。

API9提到我们要做好API的管理，API10则告诉我们：不光要管理好，也要使用好，尤其要关注使用第三方API所带来的风险，OWASP着重强调的也正是这一点。

其中，API6-不受限制地访问敏感业务流，是本次新增的3个Top10 API安全缺陷中排名最高的一个。

当越来越多的敏感业务通过API接口来承载，因“访问敏感业务流无限制”而导致的各类业务攻击事件层出不穷，如黄牛抢购、恶意占座（机票）、营销活动薅羊毛等。

加上不同缺陷可能被攻击者组合利用，一旦“不受限制地访问敏感业务流”和“授权类缺陷”组合在一起，将使得所带来的危害进一步加剧。

三、如何保护API不受敏感业务流攻击的限制?

访问敏感业务流无限制的背后，往往是攻击者通过编写攻击脚本等方式，对API接口发起的自动化攻击，OWASP也针对性提出了应对方案，包括：设备指纹、人机识别（比如验证码）、行为检测、Tor和常见代理IP检测等。

不过，如果是专业黑产团伙发起的自动化攻击，无论是请求数据，还是行为序列等，都跟正常用户发起的请求没有任何差异，可以成功绕过设备指纹、人机识别等OWASP提出的各类方案，很难检测和防御。

想要检测和阻止这种类型的攻击，无论何种解决方案都需要建立在对攻击者足够了解的前提下，针对性进行攻防对抗，这也是业务风险情报的核心价值所在。

基于威胁猎人风险情报平台捕获的海量情报数据，可将黑灰产产业链整体结构按供需关系分为资源、服务、变现三大部分，并以此来区分产业链上中下游。

位于产业链下游的黑产团伙，往往会使用产业链上游提供的攻击资源以及中游提供的服务支持，尤其是针对访问敏感业务流的API接口，发起的大规模自动化攻击。

主要由于单个黑产团伙想要独立完成整个攻击很困难，而产业链不同层级间的严密分工及配合，则使其变得容易。

当黑产攻击日趋专业化、规模化，业务情报源也有了更大的拓展空间：威胁猎人通过长期对黑灰产业链上游、中游进行全面布控，第一时间捕获最新攻击数据，包括攻击资源、物料、技术等，并提取出情报IOC。

这样无论下游攻击方式或攻击目标如何变化，只要其攻击过程中用到了上中游提供的资源、物料和技术，我们都可以进行及时感知和精准识别，全面了解“攻击者在什么社群、使用了哪些工具、通过什么攻击要素、做出怎样的攻击行为”。

正是依靠强大的“情报”基础，威胁猎人风险情报平台可以从黑产论坛、暗网、交易市场等渠道监测到黑产传播、交易的全过程。

除用户数据泄露监测外，还提供网盘文件、文库文档、代码泄露等数据监测，通过全面的情报源帮助企业及时感知数据泄漏风险，洞悉风险态势，做到防患于未然。

原标题：《从2023年OWASP API Security Top 10 看当下重点关注的API风险》

阅读原文