OWASP API Security TOP 10中文项目
OWASP API Security TOP 10中文项目
背景
在当今由应用程序驱动的世界中,创新的基本要素是应用程序编程接口(API)。从银行,零售和运输到物联网、自动驾驶汽车和智慧城市,API是现代移动、SaaS和Web应用程序的关键部分,可以在面向客户、面向合作伙伴和内部应用程序中找到。本质上,API公开了应用程序逻辑和敏感数据,例如个人身份信息(PII),因此,API越来越成为攻击者的目标。 没有安全的API,快速创新将是不可能的。
尽管更广泛的web应用程序安全风险前10名仍然有意义,但是由于它们的特殊性质,需要一个特定于API的安全风险列表。API安全关注于策略和解决方案,以理解和减轻与API相关的独特漏洞和安全风险。
介绍
欢迎来到OWASP API安全TOP10的第一版。OWASP Top 10系列,都是为了可读性和可采用性而设计的。
API在现代应用程序的体系结构中扮演着非常重要的角色。由于创建安全意识和创新的速度不同,所以重点关注常见的API安全弱点是很重要的。OWASP API 安全 Top 10的主要目标是培训那些参与API开发和维护的人员,例如开发人员、设计人员、架构师、管理人员或组织。
API1:2019 - Broken Object Level Authorization
API1:2019 -失效的对象级授权
API2:2019 - Broken User Authentication
API2:2019 -失效的用户认证
API3:2019 - Excessive Data Exposure
API3:2019 - 过度的数据暴露
API4:2019 - Lack of Resources & Rate Limiting
API4:2019 - 资源缺失 & 速率限制
API5:2019 - Broken Function Level Authorization
API5:2019 -功能级别授权已损坏
API6:2019 - Mass Assignment
API6:2019 -批量分配
API7:2019 - Security Misconfiguration
API7:2019 - 安全性错误配置
API8:2019 – Injection
API8:2019 –注入
API9:2019 - Improper Assets Management
API9:2019 -资产管理不当
API10:2019 - Insufficient Logging & Monitoring
API10:2019 -日志和监控不足
英文下载:OWASP API Security TOP 10
中文下载:OWASP API安全十大风险
中文项目组组长:肖文棣
中文项目组成员:
陈毓灵、黄鹏华、黄圣超、任博伦、张晓鲁、吴翔