OWASP API Security TOP 10中文项目

背景

在当今由应用程序驱动的世界中，创新的基本要素是应用程序编程接口（API）。从银行，零售和运输到物联网、自动驾驶汽车和智慧城市，API是现代移动、SaaS和Web应用程序的关键部分，可以在面向客户、面向合作伙伴和内部应用程序中找到。本质上，API公开了应用程序逻辑和敏感数据，例如个人身份信息（PII），因此，API越来越成为攻击者的目标。 没有安全的API，快速创新将是不可能的。

尽管更广泛的web应用程序安全风险前10名仍然有意义，但是由于它们的特殊性质，需要一个特定于API的安全风险列表。API安全关注于策略和解决方案，以理解和减轻与API相关的独特漏洞和安全风险。

介绍

欢迎来到OWASP API安全TOP10的第一版。OWASP Top 10系列，都是为了可读性和可采用性而设计的。

API在现代应用程序的体系结构中扮演着非常重要的角色。由于创建安全意识和创新的速度不同，所以重点关注常见的API安全弱点是很重要的。OWASP API 安全 Top 10的主要目标是培训那些参与API开发和维护的人员，例如开发人员、设计人员、架构师、管理人员或组织。

API1:2019 - Broken Object Level Authorization

API1:2019 -失效的对象级授权

API2:2019 - Broken User Authentication

API2:2019 -失效的用户认证

API3:2019 - Excessive Data Exposure

API3:2019 - 过度的数据暴露

API4:2019 - Lack of Resources & Rate Limiting

API4:2019 - 资源缺失 & 速率限制

API5:2019 - Broken Function Level Authorization

API5:2019 -功能级别授权已损坏

API6:2019 - Mass Assignment

API6:2019 -批量分配

API7:2019 - Security Misconfiguration

API7:2019 - 安全性错误配置

API8:2019 – Injection

API8:2019 –注入

API9:2019 - Improper Assets Management

API9:2019 -资产管理不当

API10:2019 - Insufficient Logging & Monitoring

API10:2019 -日志和监控不足

英文下载：OWASP API Security TOP 10

中文下载：OWASP API安全十大风险

中文项目组组长：肖文棣

中文项目组成员：

陈毓灵、黄鹏华、黄圣超、任博伦、张晓鲁、吴翔