#每日一书#

7.1 API安全技术与实战

API安全技术与实战

这本书算是国内第一本专门讲API安全的书。内容是API安全的一些入门,包括了API技术的一些发展变化,常见的安全漏洞,还包括了怎么做挖掘。本书的后半部分,讲解了API安全设计和API安全治理的内容,给出了一些API安全设计的最佳实践。

API安全这两年太火了,各种API安全创业公司都出来了。有数据统计,整个Web网站有83%的流量是通过API来访问的。也有数据显示,44%企业正在建造和维护100个或更多的API,API流量正在快速增长。API在带来巨大便利的同时也带来了新的安全问题,各种漏洞层出不穷。

下面是OWASP 2019年API安全的TOP10:
API1:2019 -失效的对象级授权
API2:2019 -失效的用户认证
API3:2019 - 过度的数据暴露
API4:2019 - 资源缺失 & 速率限制
API5:2019 -功能级别授权已损坏
API6:2019 -批量分配
API7:2019 - 安全性错误配置
API8:2019 –注入
API9:2019 -资产管理不当
API10:2019 -日志和监控不足

第一名失效的对象级授权是类似于IDOR,很多时候是因为开发者没有安全意识,在设计的时候就没考虑安全问题导致的。

其他的漏洞也是相似的,太多漏洞导致数据泄露,网络攻击,网络爬虫爬取大量数据,非法留存数据这种事情了,所以这本适合安全测试人员和API设计人员阅读。

我读这本书的时候,写了几篇笔记如下:

API安全的文章:
API安全测试31个Tips(一) mp.weixin.qq.com
API安全测试31个Tips(二) mp.weixin.qq.com
API安全测试31个Tips(三) mp.weixin.qq.com
API安全思维导图 mp.weixin.qq.com
SoapUI和Burp的联动使用 mp.weixin.qq.com
API安全测试工具Astra的使用介绍 mp.weixin.qq.com
评论加载中...