您位于: 首页 OWASP项目 OWASP API Security TOP 10中文项目

OWASP API Security TOP 10中文项目

OWASP API Security TOP 10中文项目

 

背景

在当今由应用程序驱动的世界中,创新的基本要素是应用程序编程接口(API)。从银行,零售和运输到物联网、自动驾驶汽车和智慧城市,API是现代移动、SaaS和Web应用程序的关键部分,可以在面向客户、面向合作伙伴和内部应用程序中找到。本质上,API公开了应用程序逻辑和敏感数据,例如个人身份信息(PII),因此,API越来越成为攻击者的目标。 没有安全的API,快速创新将是不可能的。

 

尽管更广泛的web应用程序安全风险前10名仍然有意义,但是由于它们的特殊性质,需要一个特定于API的安全风险列表。API安全关注于策略和解决方案,以理解和减轻与API相关的独特漏洞和安全风险。

 

介绍

欢迎来到OWASP API安全TOP10的第一版。OWASP Top 10系列,都是为了可读性和可采用性而设计的。

API在现代应用程序的体系结构中扮演着非常重要的角色。由于创建安全意识和创新的速度不同,所以重点关注常见的API安全弱点是很重要的。OWASP API 安全 Top 10的主要目标是培训那些参与API开发和维护的人员,例如开发人员、设计人员、架构师、管理人员或组织。

 

API1:2019 - Broken Object Level Authorization

API1:2019 -失效的对象级授权

API2:2019 - Broken User Authentication

API2:2019 -失效的用户认证

API3:2019 - Excessive Data Exposure

API3:2019 - 过度的数据暴露

API4:2019 - Lack of Resources & Rate Limiting

API4:2019 - 资源缺失 & 速率限制

API5:2019 - Broken Function Level Authorization

API5:2019 -功能级别授权已损坏

API6:2019 - Mass Assignment

API6:2019 -批量分配

API7:2019 - Security Misconfiguration

API7:2019 - 安全性错误配置

API8:2019 – Injection

API8:2019 –注入

API9:2019 - Improper Assets Management

API9:2019 -资产管理不当

API10:2019 - Insufficient Logging & Monitoring

API10:2019 -日志和监控不足

 

 

英文下载:OWASP API Security TOP 10

中文下载:OWASP API安全十大风险

中文项目组组长:肖文棣

中文项目组成员:

陈毓灵、黄鹏华、黄圣超、任博伦、张晓鲁、吴翔