OWASP是一个致力于提升Web应用程序安全的非营利组织，它提供了一系列的安全项目、工具、文档和技术资源，帮助开发人员、安全专家和组织构建和维护安全的Web应用程序。考虑到API技术的快速发展和威胁演变，最近OWASP更新发布了2023 OWASP API安全十大风险，旨在帮助人们在应用程序开发时规避常见的API安全风险。

1、对象级授权失败（BOLA）

对象级授权失败源于API端点上缺乏适当的访问控制，从而允许未经授权的用户访问和修改敏感数据。BOLA在所有API攻击中约占40%，是最常见的API安全威胁。对象级授权失败API漏洞自2019年以来一直是OWASP列表中的第一大漏洞，并在2023年版本中同样保持首位。

2、身份验证失败

身份验证失败使攻击者能够使用被盗的身份验证令牌、凭据填充和暴力攻击来获得对应用程序的未经授权访问。Booking.com中的社交登录功能不正确（现已修复）就是一个身份验证失败的例子，这可能导致潜在的ATO攻击。自2019年以来，此API身份验证安全漏洞一直是OWASP列表中的第二大漏洞。

3、对象属性级别授权失败

对象属性级别授权失败合并了通过过度数据暴露（之前在2019年OWASP API安全10大问题中排名第三）或大规模分配（之前在2017年列表中排名第六）获得对敏感信息的未经授权访问而发生的攻击。这两种技术都基于API端点操作来访问敏感数据。

4、无限制资源消耗

此漏洞源于未正确实现或忽视实现资源消耗限制的API，使其极易受到暴力攻击。“无限制资源消耗”取代了OWASP API Security Top 10（缺乏资源和速率限制）中的前4位。然而，尽管名称发生了变化，但该漏洞总体上保持不变。

5、功能级别授权失败

当未正确实施授权时，会形成此威胁，导致未经授权的用户能够执行API功能，例如添加、更新或删除客户记录或用户角色。自2019年以来，BFLA一直保持着第五名的位置。

6、无限制访问敏感业务流

这种新的威胁已经取代了Mass Assignment，成为OWASP API安全排行榜前10的第6名，当API暴露了一个业务流，而没有补偿如果通过自动化过度使用该功能可能造成的危害时，这种威胁就会显现出来。要利用此漏洞，攻击者需要了解相关API背后的业务逻辑，找到敏感的业务流并自动访问它们，以便对业务造成损害。

7、服务器端请求伪造（SSRF）

当用户控制的URL通过API传递并由后端服务器执行和处理时，就会发生服务器端请求伪造。如果后端服务器试图连接到用户提供的URL，就会出现API安全风险，这为SSRF打开了大门。此威胁已取代Mass Assignment，成为OWASP API十大安全列表中的第7名。

8、安全配置错误

安全错误配置是一大类安全错误配置的总称，这些错误配置通常会对整个API安全产生负面影响，并在无意中引入API漏洞。这一威胁在2019年发布的OWASP API安全十大威胁中排名第七，2023年该威胁得到保留。

9、存量资产管理不当

这种威胁是由于过时或不完整的清单造成的，这可能会在API攻击面中产生未知的漏洞，从而使识别应该淘汰的旧版本API变得困难。不当的存量管理已经取代不当的资产管理，成为OWASP API安全性前十名中的第9名，虽然名称已经改变，以强调准确和最新的API存量的重要性，但威胁仍然是一样的。Optus的漏洞就是一个很好的例子。Optus是澳大利亚第二大电信公司，由于“被遗忘”的API暴露给公众，导致超过1120万客户记录被曝光。

10、不安全的API使用

API的不安全使用漏洞源于API客户端对API的不当使用，例如绕过API身份验证安全控制或操纵API响应，这可能导致未经授权的访问和数据暴露。可以通过使用API数据本身或滥用第三方集成问题来利用此API漏洞。API的不安全使用已经取代了不充分的日志记录和监控，成为OWASP API安全性前十名中的第10名。与此类别最相关的例子是臭名昭著的Log4Shell攻击。