API安全性自查清單

企業(yè)需要尋求更加有效API安全防護(hù)策略和方法，以減少API安全治理的復(fù)雜性和管理成本。

參考2023年度“OWASP TOP 10 API安全風(fēng)險”清單，安全研究人員總結(jié)梳理了一份易于遵循的API安全性檢查清單，通過全面的API安全風(fēng)險檢查，企業(yè)可以有效提升API應(yīng)用的安全性。

OWASP - A1 ：對象級授權(quán)

1. 驗證是否使用用戶策略和層次結(jié)構(gòu)實現(xiàn)授權(quán)檢查；?

2. 驗證API是否需要依賴于從客戶端發(fā)送的身份ID，API應(yīng)用應(yīng)該檢查會話中存儲對象的ID；?

3. 驗證服務(wù)器配置是否按照所使用的應(yīng)用服務(wù)器和框架的建議進(jìn)行了加固；?

4. 驗證API是否實現(xiàn)了在每次客戶端請求訪問數(shù)據(jù)庫時檢查授權(quán)；?

5. 驗證API沒有使用隨機(jī)猜測ID（UUID）。?

OWASP - A2：破損的認(rèn)證

1. 驗證是否全面認(rèn)證所有API；?

2. 驗證密碼重置API和一次性鏈接是否允許用戶一起進(jìn)行身份驗證，并受到嚴(yán)格保護(hù)；?

3. 驗證API是否實現(xiàn)標(biāo)準(zhǔn)的身份驗證，令牌生成，密碼存儲和多因素身份驗證；?

4. 驗證API是否使用了短期訪問令牌；?

5. 驗證API是否使用了嚴(yán)格的速率限制身份驗證，并實現(xiàn)鎖定策略和弱密碼檢查。

OWASP - A3：過度的數(shù)據(jù)暴露

1. 驗證API是否依賴于客戶端來過濾數(shù)據(jù)；?

2. 驗證API響應(yīng)性，并根據(jù)API使用者的實際需要調(diào)整響應(yīng)；?

3. 驗證API規(guī)范性，定義所有請求和響應(yīng)的模式；?

4. 驗證錯誤API響應(yīng)是否已經(jīng)明確定義；?

5. 驗證所有敏感或PII信息的使用是否有明確的理由；?

6. 驗證API強(qiáng)制響應(yīng)檢查措施，以防止意外的數(shù)據(jù)和異常泄漏。

OWASP - A4：缺乏資源和速率限制

1. 驗證是否根據(jù)API方法、客戶端和地址配置了速率限制；?

2. 驗證有效載荷限制是否已配置；?

3. 在執(zhí)行速率限制時驗證壓縮比；

4. 驗證計算/容器資源上下文中的速率限制。?

OWASP - A5：無效的功能級授權(quán)

1. 驗證默認(rèn)情況下是否能夠拒絕所有訪問；?

2. 驗證API是否依賴于應(yīng)用程序來強(qiáng)制管理訪問；?

3. 驗證所有不需要的功能是否都被禁用；?

4. 驗證計算/容器資源內(nèi)容中的速率限制是否有效；?

5. 確保僅根據(jù)特定角色授予角色；?

6. 驗證授權(quán)策略是否在API中正確實現(xiàn)。

OWASP - A6：批量分配

1. 驗證API是否自動綁定傳入數(shù)據(jù)和內(nèi)部對象；?

2. 驗證API是否顯示定義組織期望的所有參數(shù)和有效負(fù)載；?

3. 驗證API在設(shè)計時是否精確定義了訪問請求中接受的模式、類型和模式，并在運(yùn)行時強(qiáng)制執(zhí)行它們。

OWASP - A7：安全配置錯誤

1. 驗證API實現(xiàn)是否可重復(fù)，并且加固和修復(fù)活動已納入開發(fā)過程；

2. 驗證API生態(tài)系統(tǒng)是否具有自動定位配置缺陷的過程；?

3. 驗證平臺是否在所有API中禁用了不必要的功能；?

4. 驗證API安全系統(tǒng)是否可以限制管理訪問；?

5. 驗證所有的輸出是否安全，包括錯誤的輸入；?

6. 驗證授權(quán)策略是否在API中正確實現(xiàn)。

OWASP - A8：請求偽造??

1. 驗證API對各類消費者的信任機(jī)制是否正確，即使是對內(nèi)部員工的；?

2. 驗證API是否嚴(yán)格定義所有輸入數(shù)據(jù)：模式、類型、字符串模式，并在運(yùn)行時強(qiáng)制執(zhí)行；?

3. 驗證API是否可以對所有傳入數(shù)據(jù)進(jìn)行驗證、過濾和阻斷；?

4. 驗證API是否定義、限制和執(zhí)行API輸出，以防止數(shù)據(jù)泄漏。

OWASP - A9：資產(chǎn)管理不當(dāng)

1. 驗證平臺能否限制訪問任何不應(yīng)公開的內(nèi)容；??

2. 驗證API應(yīng)用架構(gòu)是否具備額外的外部安全控制，如API防火墻；?

3. 驗證一個API應(yīng)用進(jìn)程是否被有效地管理；?

4. 驗證架構(gòu)是否實現(xiàn)嚴(yán)格的API身份驗證、重定向等。

OWASP - A10：日志記錄和監(jiān)控不足

1. 驗證API日志的完整性和準(zhǔn)確性；?

2. 驗證日志格式是否可以被其他工具有效使用；?

3. 驗證API應(yīng)用管理平臺是否對敏感日志進(jìn)行了有效保護(hù)；?

4. 驗證API應(yīng)用平臺是否包含足夠的詳細(xì)信息以識別攻擊者；?

5. 驗證平臺與SIEM等其他安全工具是否可以協(xié)同、集成。