Изучите 10 самых критичных рисков безопасности API и проверьте свой API бесплатно.
Сканировать API на OWASPOWASP API Top 10 — это авторитетный список десяти самых критичных рисков безопасности для API, составленный Open Worldwide Application Security Project (OWASP). Последняя редакция 2023 года отражает эволюцию угроз в эпоху API-ориентированной архитектуры.
API стали основной атакуемой поверхностью современных веб-приложений, на них приходится более 80% всего веб-трафика. Понимание этих 10 рисков — необходимый минимум для любой организации, разрабатывающей или потребляющей API.
SEC Scanner автоматически проверяет ваш API на все 10 категорий рисков OWASP API Top 10, а также на множество дополнительных уязвимостей.
BOLA — риск безопасности API №1. API раскрывают идентификаторы объектов (ID пользователей, номера заказов) в запросах, и когда сервер не проверяет права пользователя на доступ к конкретному объекту, злоумышленники могут просто изменить ID для доступа к чужим данным.
Несанкционированный доступ к данным любого пользователя, включая личную информацию, финансовые записи и приватный контент.
Реализуйте проверки авторизации на уровне объектов на каждом эндпоинте. Никогда не полагайтесь только на ID объекта — всегда проверяйте права владения или доступа запрашивающего пользователя.
Механизмы аутентификации в API часто реализованы некорректно, позволяя злоумышленникам скомпрометировать токены аутентификации или эксплуатировать ошибки реализации для подмены личности.
Полный захват учётной записи, кража личности, несанкционированный доступ ко всем данным и функциям пользователя.
Используйте стандартные протоколы аутентификации (OAuth2, OpenID Connect). Реализуйте корректное управление сессиями, ограничение частоты запросов и многофакторную аутентификацию.
Эта категория объединяет чрезмерное раскрытие данных и массовое присвоение. API могут возвращать больше полей, чем необходимо, или принимать операции записи на поля, которые пользователь не должен изменять.
Раскрытие конфиденциальных полей (внутренние ID, хэши, ПДн) или несанкционированная модификация критических полей (роль, isAdmin, права).
Реализуйте авторизацию на уровне полей для операций чтения и записи. Используйте DTO для точного контроля возвращаемых и изменяемых полей.
API без ограничений на частоту запросов, размер полезной нагрузки или тайм-ауты выполнения могут быть использованы для исчерпания ресурсов сервера.
Простой сервиса, увеличение затрат на инфраструктуру, ухудшение производительности для легитимных пользователей.
Реализуйте ограничение частоты запросов, пагинацию, ограничения размера полезной нагрузки и тайм-ауты выполнения.
Когда административные функции недостаточно защищены, обычные пользователи могут получить доступ к эндпоинтам администратора, просто зная URL. Это часто происходит, когда API полагаются на скрытие в UI, а не на серверную авторизацию.
Полный административный доступ, возможность изменять других пользователей, системные настройки или удалять данные.
Реализуйте проверки авторизации на уровне функций на стороне сервера. Никогда не полагайтесь на скрытие в UI. Используйте управление доступом на основе ролей.
Некоторые эндпоинты API раскрывают критичные бизнес-операции без адекватной защиты от автоматизации, позволяя злоумышленникам масштабировать эти процессы.
Создание фейковых аккаунтов, сбор данных, манипуляция запасами, финансовое мошенничество.
Реализуйте меры против автоматизации: CAPTCHA, повышенная аутентификация, лимиты транзакций и отпечатки устройств.
SSRF возникает, когда API получает удалённый ресурс без проверки URL, предоставленного пользователем. Злоумышленники могут заставить сервер отправлять запросы к внутренним сервисам или эндпоинтам метаданных облака.
Доступ к внутренним сервисам, кража облачных учётных данных (AWS/GCP metadata), разведка сети.
Валидируйте и очищайте все URL. Используйте списки разрешённых доменов. Блокируйте запросы к внутренним IP-диапазонам и эндпоинтам метаданных облака.
Некорректно настроенные API раскрывают подробные сообщения об ошибках, отладочные эндпоинты, учётные данные по умолчанию или отсутствующие заголовки безопасности.
Раскрытие информации, несанкционированный доступ через учётные данные по умолчанию, атаки через Cross-Origin.
Усильте конфигурации API перед развёртыванием. Удалите отладочные эндпоинты, реализуйте корректную политику CORS, добавьте заголовки безопасности.
Организации часто используют устаревшие версии API, недокументированные эндпоинты или раскрытые панели администратора. Эти забытые API редко обновляются и не имеют средств безопасности.
Злоумышленники эксплуатируют неустранённые уязвимости в старых версиях API или обнаруживают скрытые административные функции.
Ведите инвентарь API. Документируйте все эндпоинты и версии. Снимайте с эксплуатации старые версии. Контролируйте несанкционированные развёртывания API.
Безопасность вашего API зависит от безопасности сторонних API, которые он потребляет. Если ваш API слепо доверяет данным от внешних сервисов, скомпрометированный сервис может внедрить вредоносные данные.
Отравление данных, инъекции через доверенные данные третьих сторон, компрометация цепочки поставок.
Валидируйте и очищайте все данные от сторонних API. Не доверяйте внешним данным больше, чем пользовательскому вводу.
Автоматически проверьте все 10 категорий рисков OWASP API Security. Бесплатно, без регистрации.
Начать бесплатное сканирование