OWASP 10大API資安漏洞 | 防護策略

API 成為攻擊目標

API (Application Programming Interface)，又稱為「應用程式介面」，是現在軟體應用以及Web應用中不可或缺的元素，你可以在網站的天氣預報中發現到它，也可以在外送平台上發現到它，API 已經不知不覺充斥在生活的各個角落的應用，據統計在2021年，全球就有41％的企業發生過API的資安事件，企業面臨的風險如客戶敏感訊息外洩、資料遭受盜取、資料被進行竄改等。

隨著API使用的日益攀升，越來越多的攻擊者會鎖定公司的API漏洞上，以下就是OWASP於2019年公布API Security前十大資安漏洞，希望可以幫助企業、開發團隊與資安團隊更能瞭解攻擊者常攻擊的弱點，並且加以防範！

OWASP API SECURITY TOP 10

2019年排名	API 資安漏洞
1	Broken object level authorization
2	Broken user authentication
3	Excessive data exposure
4	Lack of resources & rate limiting
5	Broken function level authorization
6	Mass assignment
7	Security misconfiguration
8	Injection
9	Improper assets
10	Insufficient logging & monitoring

第一名 Broken object level authorization

破解不安全物件授權，太過鬆散的 Object ID 會使得攻擊者可以操控客戶端發出 Object ID request來存取不該存取的資訊，進而竊取到資料。

第二名 Broken user authentication

身分認證破解，API身分認證與原本的端點的身分認證需要不同，不然攻擊者很容易因為獲取了使用者帳號與密碼，即可對API進行密碼排列組合破解取得權限。

第三名 Excessive data exposure

過多的資料暴露，API 的安全設計就影響了這點，是否因為客戶端的存取而給予超越客戶端權限以外的其他資料，攻擊者可以透過網路監聽流量對此分析，而獲得這些資料。

第四名 Lack of resources & rate limiting

缺乏資源與速度限制，API 很常用來查詢資料庫的資料並且回傳，如果請求資料量要求過大筆數，在缺乏資源的情況下運作速度就會下降，造成其他使用者服務變慢或終止，攻擊者可以進而利用此漏洞癱瘓服務。

第五名 Broken function level authorization

不同管理階層授權漏洞，組織複雜的層級制度與角色管理權限，在管理者和普通職員之間模糊的權限地帶，容易被攻擊者破解普通職員權現進而取得不應取得的內容。

第六名 Mass assignment

批量配置不當，API 的框架允許使用者編輯自己的資料上去，但沒有鎖住其他欄位的編輯權，攻擊者可以攻擊此漏洞，編輯帳戶餘額之類的。

第七名 Security misconfiguration

安全配置錯誤，常見的不安全默認配置，導致未經授權的資料和目錄被存取，暴露敏感的使用者資訊。

第八名 Injection

注入攻擊，攻擊者發現 API 可使用注入程式碼來攻擊，即可撰寫一些竊取資料的程式碼來使 API 進行不當的動作。

第九名 Improper assets

版本控管不當，舊版本的 API 未更新且有漏洞，攻擊者可以透過方式取得進入舊版本的方法，來避開新版本獲取資料。

第十名 Insufficient logging & monitoring

監控登入不足，沒有即時有效的發現 API 中可疑的登入並做出反應，因此攻擊者有足夠的時間來對系統進行破壞。

那該如何防護API安全攻擊？

目前光靠一般的API 閘道器、負載均衡設備和 WAF 是很難有效防禦攻擊的，除了即時監測流量以外，提前發現API漏洞也很重要，目前全球最大的API Security品牌 Noname 就提供了非常完整的服務。

Noname API 平台是一種 out of band 的解決方案，主動保護您的環境免於因 API 安全漏洞、錯誤設定、設計缺陷而導致於遭受駭客攻擊，並透過自動化偵測掃描快速的回應提供 API 的安全保護。Noname Security 即時保護 API 並在存在弱點和設定錯誤被惡意利用之前偵測到它們，可與您的 API 閘道器、負載均衡設備和 WAF 整合,以提供更深入的可視化和安全性。