Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Jun 04, 2023
Рейтинг 10 лучших API безопасности API 2023 года по версии OWASP уточняет взгляд на риски API
Опубликован рейтинг OWASP по основным рискам безопасности API в 2023 году.
Опубликован рейтинг OWASP по основным рискам безопасности API в 2023 году. Список включает в себя множество параллелей со списком 2019 года, некоторые реорганизации/переопределения и некоторые новые концепции.
К
Флипборд
Реддит
Пинтерест
Электронная почта
Опубликован рейтинг OWASP по основным рискам безопасности API в 2023 году. Список включает в себя множество параллелей со списком 2019 года, некоторые реорганизации/переопределения и некоторые новые концепции.
Вот 10 основных рисков безопасности API OWASP в 2023 году и сравнение с версией 2019 года:
Ни угрозы, ни риски не меняются радикально за несколько лет; но они развиваются, и наше понимание их в равной степени развивается. Об этом свидетельствует листинг 2023 года – не столько новый список, сколько уточнение существующего списка.
Списки OWASP созданы совместными усилиями. Хотя никто не сомневается в их ценности, не все, даже те, кто в них участвует, согласны со всеми деталями. Возьмите удаление чрезмерного раскрытия данных из API3.
«Означает ли это, что мы решили проблему раскрытия конфиденциальных данных?» — спрашивает Джейсон Кент из Cequence Security. «Нет, раскрытие конфиденциальных данных — это огромная проблема. В версии API 3 2023 года мы видим пример того, как кто-то переходит на следующий шаг к раскрытию конфиденциальных данных и нарушает авторизацию на уровне собственности. Это не прямая замена, потому что многие пунктов в списке зависят от раскрытия конфиденциальных данных. Правильно ли это представить? Я так не думаю, это пример разных мнений».
В то же время он хвалит изменение названия API6 за то, что по сути это тот же риск. Перечисленные примеры остаются в основном одинаковыми: оба предназначены для приложения для совместного использования поездок и оба используют что-то в серверной части. «В названии есть что-то тонкое, из-за чего название 2023 года кажется чем-то, что нужно исправить, а не туманным и запутанным. Оно также иллюстрирует наши выводы о том, как безопасность API, которая не работает должным образом, приводит к автоматизации атак. использовано против него».
Основная проблема при создании подробного и упорядоченного списка рисков — это цепочка рисков. Нарушения часто начинаются с API, который жертва забыла (API9). Это может привести к предоставлению конфиденциальных пользовательских данных (API1), что побудит злоумышленника создать бота, который будет использовать уязвимость как можно глубже и быстрее (касается API6).
«Новый список API Top 10, возможно, не идеален, — заключает Кент, — но он показывает нам именно то, что мы знаем уже несколько лет. Ситуация в области безопасности API меняется, и организациям необходимо меняться вместе с ней. Так ли это?» Зная, где находятся ваши API, проверяя их на наличие недостатков или предотвращая атаки ботов на ваши неизвестные потоки, безопасность API должна быть в центре внимания каждого — и этот новый список — отличное место для начала».
Связанный: Топ-10 OWASP обновлена тремя новыми категориями
Связанный: Выпущена окончательная версия рейтинга OWASP Top 10 за 2017 год.
Связанный: OWASP предлагает новые уязвимости для топ-10 2017 года
Кевин Таунсенд — старший участник SecurityWeek. Он писал о проблемах высоких технологий еще до рождения Microsoft. Последние 15 лет он специализируется на информационной безопасности; и опубликовал многие тысячи статей в десятках различных журналов – от «Таймс» и «Файненшл Таймс» до нынешних и давно ушедших компьютерных журналов.
Подпишитесь на брифинг SecurityWeek по электронной почте, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от отраслевых экспертов.
Саммит SecurityWeek по обнаружению угроз и реагированию на инциденты объединяет специалистов по безопасности со всего мира, чтобы поделиться военными историями о взломах, APT-атаках и разведывательной информации об угрозах.
Форум CISO в рамках Securityweek будет посвящен вопросам и проблемам, которые волнуют сегодняшних руководителей служб безопасности, а также тому, как выглядит будущее в качестве главных защитников предприятия.
Следование выбранному курсу и приверженность стратегическим целям позволяет специалистам по безопасности стабильно и постоянно улучшать состояние безопасности своей организации. (Джошуа Гольдфарб)