2019年，国外非营利组织 OWASP 首次提出 API Security Top 10（2019），对API安全漏洞的发现与风险点检测划分出重点。伴随API安全的快速发展与使用场景广泛化的加持下，API的安全建设成为数字化企业的重点工作，OWASP 于2023年6月5日发布 OWASP API Security Top 10正式稳定版。以下是2023年发布的最新的风险清单：

“

API 1：

2023 – Broken Object Level Authorization 对象级别授权失效

APIs 往往公开处理对象标识符的端点，从而创建了一个广泛的攻击面，存在对象级访问控制问题。在使用用户提供的 ID 访问数据源的每个功能中，应考虑对象级授权检查。

“

API 2：

2023 – Broken Authentication 认证失效

身份验证机制通常实施不当，使攻击者能够破坏身份验证令牌或利用实施缺陷暂时或永久地冒用其他用户的身份。损害系统识别客户端/用户的能力，会损害 API 的整体安全性。

“

API 3：

2023 – Broken Object Property Level Authorization 对象属性级别授权失效

该类别结合了 API 3:2019 Excessive Data Exposure 和 API6:2019 – Mass Assignment，关注根本原因：对象属性级别的授权验证缺失或不当。这会导致信息暴露或被未授权方篡改。

“

API 4：

2023 – Unrestricted Resource Consumption 不受限的资源消耗

满足 API 请求需要网络带宽、CPU、内存和存储等资源。其他资源，如电子邮件/SMS/电话或生物识别验证，通过 API 集成由服务提供商提供，并按请求付费。成功的攻击可能导致拒绝服务或增加运营成本。

“

API 5：

2023 – Broken Function Level Authorization 功能级授权失效

复杂的访问控制策略涉及不同的层级、组和角色，并且在管理和常规功能之间没有明确的分离，往往会导致授权漏洞。通过利用这些问题，攻击者可以访问其他用户的资源和/或管理功能。

“

API 6：

2023 – Unrestricted Access to Sensitive Business Flows 不受限访问敏感业务流

易受此风险影响的 API 会暴露出一种业务流程，比如购买车票或发表评论，而没有考虑到如果以自动化的方式过度使用该功能会对业务造成损害。这不一定是由于实施中的错误引起的。

“

API 7：

2023 – Server Side Request Forgery 服务器端请求伪造

当API在未验证用户提供的 URI 的情况下获取远程资源时，可能会出现服务器端请求伪造 (SSRF) 缺陷。这使攻击者能够强制应用程序将精心设计的请求发送到意想不到的目的地，即使受到防火墙或 VPN 的保护。

“

API 8：

2023 – Security Misconfiguration 安全配置错误

API 和支持它们的系统通常包含复杂的配置，旨在使API更具可定制性。软件和DevOps 工程师可能会忽视这些配置，或在配置方面不遵循安全最佳实践，从而为不同类型的攻击打开了大门。

“

API 9：

2023 – Improper Inventory Management 存量资产管理不当

API 往往比传统的 Web 应用程序暴露更多的端点，因此正确和更新的文档非常重要。对主机和部署的API版本进行适当的清单管理也很重要，以减轻诸如废弃的API版本和暴露的调试端点等问题。

“

API 10：

2023 – Unsafe Consumption of APIs API的不安全使用

开发人员倾向于更信任来自第三方 API 的数据，而不是用户输入，因此他们倾向于采用较弱的安全标准。为了破坏 API，攻击者会攻击集成的第三方服务，而不是直接尝试破坏目标 API。

差异化分析

API Security Top 10（2019）与

API Security Top 10（2023）

该列表与 2019 年十大 API 安全风险相比有不少变化。与2019年相比，OWASP API Security  Top 10（2023）所呈现出的风险变化如下：

01

不变的风险

对象级别授权失败 (BOLA)、功能级别授权失败 (BFLA) 和安全配置错误是 2023 年列表中三个不变的 OWASP 十大 API 漏洞类别。他们在名单上的位置保持不变。

02

新增的风险

OWASP API Top 10 2023 新增对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。

03

更新的风险

• 用户身份认证失败（Broken User Authentication ）修改为身份认证失败 （Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

• 损坏的对象属性级别授权（ Broken Object Property Level Authorization），在最新列表中排名第 3，结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。这两个漏洞都强调需要正确保护 API参数 ，以防止威胁参与者未经授权的访问和利用。

• 资源访问无限制（Lack of Resources and Rate Limiting ）重命名为资源消耗无限制（Unrestricted Resource Consumption）。以前，重点只放在漏洞上，但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果。

04

删除的风险

日志和监控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection） 已从 OWASP API Top 10 2023 列表中删除。

API Security Top 10 （2023稳定版）指出，API 安全与传统的 Web 安全有很大区别，一方面需要在设计和开发阶段，对 API 的安全性要进行全方面考量；另一方面需在运维阶段，针对 API 运行时进行安全防护，根据 API 的全生命周期进行防护体系建设，以此来更好的应对各类新型安全风险，将风险提前控制，保障运行时安全。

梆梆安全基于“端到端的全渠道风险防护”技术理念，结合移动业务终端安全接入具体需求，推出“动静结合、横向端到端联动+实时防御、纵向全渠道联动”的 API 安全解决方案，利用动静结合的防御思想，实现端到端的风险联动防御，通过多渠道的情报共享，实现多渠道的协同防御，全面打造“安全合规、架构稳定、产品易用”的终端安全环境，构建高质量业务安全体系，帮助客户实现更加安全可控的数字化转型。面向未来，梆梆安全将结合自身多年的安全实践与技术优势，为企业用户提供适应新要求、新形势下的新一代API风险解决方案，构建合规要求下的数据安全治理体系，持续提高数据安全治理能力。