OWASP API Security Top 10 (2023-RC更新)
原文中文,约6300字,阅读约需15分钟。发表于: 。API的广泛应用也为运维可见性、安全性提出了新的挑战。针对API这种“易攻难守”的新兴资产的安全治理显得愈发重要。
随着企业数字化程度的加深,API成为数据交互的“通用语言”,但也为安全性提出了新的挑战。OWASP发布了API Security Top 10(候选版)的内容更新,强调了API攻击场景与Web攻击的差异化,突出API权限管理、资产管理、业务风控及供应链问题。更新内容包括身份认证范围扩展到“人+机”的认证、服务端请求伪造漏洞、缺少对自动化威胁的防护等。需要采用更多元化、智能化的身份认证方式来提高系统、服务、数据的安全性。