廖新喜 甲方API安全落地实践

01 OWASP TOP 10 OWASP Top10 A03：2021-注入 A05:2021-配置错误 02 API 安全痛点甲方漏洞现状编号漏洞标题定义 1 水平越权对象级别的越权，通过某个遍历参数可以访问到其他对象资源 2 过度数据暴露 3 注入 4 业务安全缺陷 5 安全配置错误 6 高并发缺陷依赖通用方法，开发人员倾向于公开所有对象属性而不考虑其各自的敏感度，依赖客户端在向用户显示数据前执行数据筛选，返回的数据也缺失脱敏操作当不受信任的数据作为命令或查询的一部分发送给解释器时，就会出现注入缺陷，如 SQL、NoSQL、命令注入等。攻击者的恶意数据可诱使解释器在未经恰当授权的情况下执行非预期的命令或访问数据业务逻辑上的缺陷，主要是过分信任用户的输入，这些漏洞跟业务强相关安全错误配置通常是由于不安全的默认配置、不完整或临时配置、开放云存储、开发 swagger，配置错误的HTTP 头、不必要的 HTTP 方法、允许跨域资源共享(CORS)和包含敏感信息的详细错误消息造成的攻击者通过并发http/tcp请求而达到次获奖、多次收获、多次获赠等非正常逻辑所能触发的效果，一般都是系统幂等性设计缺失或者错误导致的额痛点 API多发版快越权占比高人力支撑困难敏感多数据 03 API 安全收敛体系 SDL BP架构漏洞收敛体系应用安全三板斧应用安全三板斧之IAST API 网关 API 管控平台提问环节

廖新喜甲方API安全落地实践

文档预览

中文文档 19 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分

赞助2元下载(无需注册)

温馨提示：本文档共19页，可预览 3 页，如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档

下载文档到电脑，方便使用

赞助2元下载

本文档由路人甲于 2022-09-01 08:25:54上传分享

廖新喜 甲方API安全落地实践

廖新喜甲方API安全落地实践