1、白皮书巧用对策防范 OWASP 十大 API 安全风险Akamai 如何助您应对常见的 API 漏洞和威胁OWASP 10 大漏洞Akamai 能否提供 帮助？失效的对象级授权失效的身份验证失效的对象属性级授权不受限制的资源消耗失效的功能级授权不受限制的敏感业务流访问服务器端请求伪造安全配置错误不当的资产管理不安全的 API 使用OWASP 十大 API 安全风险|284%84%的企业报告称他们在一年内遇到过 API 安全事件。显而易见，保护 API 应该成为企业的首要任务。API 是企业数字产品、服务和 AI 技术的核心。随着企业越来越多地采用基于微服务的架构来开发应用程序，API 也成为了

2、构建和连接应用程序的标准。然而，由于 API 会持续访问数据和关键系统，这不但会帮助企业提升收入，也会给他们带来运营风险。暴露或配置错误的 API 非常普遍，很容易遭到入侵，而且往往缺乏必要的安全保护。仅仅是一个遭到入侵的 API 就会导致数百万条记录被窃取。84%的企业报告称他们在一年内遇到过 API 安全事件，显然保护 API 应该成为企业的首要任务。但 API 攻击面已快速上升为攻击者的攻击目标，并且此间的速度远比大多数企业对以下对象的了解要快得多：API 风险 API 攻击方法 API 安全控制措施和功能有什么可以提供帮助？许多安全团队都在将目光投向非营利性开放式全球应用程序安全项目提

3、供的宝贵资源：OWASP 十大 API 安全风险。OWASP 十大 API 安全风险包含相关指南，可帮助企业了解和解决因错误配置、身份验证控制松懈等问题而产生的常见 API 漏洞。OWASP 也说明了 API 攻击的运作方式、识别 API 滥用的方法以及保护您的企业免受失效的对象级授权(BOLA)攻击等威胁侵扰的方法。继续阅读，了解 OWASP 已识别的主要风险以及 Akamai 的 API 安全解决方案如何帮助您抵御这些风险。|3当客户端的授权未经过正确验证即可访问特定对象 ID 时，就会产生失效的对象级授权(BOLA)漏洞。此漏洞为攻击者直接访问资源敞开了方便之门，让他们能够绕过预期的应用

4、程序工作流并对敏感数据进行未授权访问。为降低此风险，企业应该避免单纯地依赖于客户端在请求中传递的对象 ID，可改为使用不可猜测的随机对象 ID，从而确保对每个对象进行强力验证。在适当的时候，掩藏对象的真实 ID 可以提供一层额外的安全保护。失效的对象级授权Akamai 灵敏的监控系统会跟踪威胁并针对攻击者尝试过的 BOLA 漏洞利用生成告警，从而确保能够让用户立即注意到相关情况并采取相应措施。Akamai 可以通过下列操作来抵御风险：识别 BOLA 漏洞利用尝试针对攻击者尝试过或已成功的 BOLA 漏洞利用生成告警根据收到的输入（例如，可枚举参数）以及 API 对象与属性之间的关系，对容易受到

5、 BOLA 漏洞利用入侵的 API 端点进行分类Akamai 如何为您提供帮助|4失效的身份验证指的是身份验证过程中的大量漏洞，这些漏洞会将系统暴露在攻击者面前，而攻击者能够利用这些漏洞来破坏 API 对象防护机制。通常，攻击者会利用失效的身份验证漏洞来操纵系统中的漏洞，例如弱密码或会话重播。为了防范失效的身份验证漏洞，企业可以建立强大的身份验证和密钥管理机制，例如高强度密码策略、密钥轮换、强令牌签名和加密密钥。在企业中强制实施这些严格的策略会显著降低风险。失效的身份验证Akamai 可以识别并纠正弱身份验证点，抵御自动攻击并且针对攻击方尝试过的漏洞利用攻击主动发出告警，从而增强 API 安全

6、性。Akamai 可以通过下列操作来抵御此风险：识别不需要身份验证或者未遵循身份验证最佳实践的 API 端点，例如弱令牌签名或弱加密密钥以及接受过期的身份验证令牌针对攻击者尝试过的失效用户身份验证漏洞利用生成告警通过我们的爬虫程序管理功能来防范自动字典或撞库攻击通过我们的 API Gateway 功能，使用强令牌签名来处理 JSON Web 令牌的授权Akamai 如何为您提供帮助|5失效的对象属性级授权(BOPLA)是一种安全漏洞。在此漏洞中，API 端点不必要地公开很多数据属性，超过了该端点发挥其功能所需的数量，进而导致忽视最低权限原则。此漏洞会在无意中为攻击者提供过多的数据，然后攻击者会