OWASP API安全项目简介

致力于向全球教授正确安全实践的著名组织机构OWASP推出一项名为OWASP API安全项目的新计划。

这项新项目的主要支持者为AppFolio公司的首席信息安全官David Shaw和Bugcrowd公司的高级安全工程师Leif Dreizler。他们在上周于纽约举行的NolaCon安全会议上概述了这个新项目的情况。

OWASP API安全项目会提供如何正确执行最新技术即API的指南。通常，编写不正确的API会导致攻击者升级访问权限并且追踪关于一款app或其用户的信息。

根据API的位置即位于网络服务内部还是位于一款硬件设备固件的内部，API利用所造成的损失有所不同，比如自动化数据攫取、远程代码执行漏洞等。OWASP正是致力于解决以上提到的这些近期越来越常见的情况。此外，OWASP还将评估并创建一个“十大API安全风险”页面。两名研究人员发布了该页面的临时版本，其中包括不正确的数据清洁、不充足的访问控制、不安全的直接对象引用、不充分的传输层安全、敏感信息暴露、弱服务器侧安全、不正确的密钥处理、不连贯的API功能以及安全错误配置。该列表仅包含九项内容，最后一项将于几个月内补充完整。

由API安全引发的问题十分严重。上个月，一项调查显示多数公司竟然没有部署最基本的API安全设置如速率限制。