ブログ

Jun 04, 2023

OWASP の 2023 年の API セキュリティ トップ 10 が API リスクの見方を洗練

Sono state pubblicate le classifiche OWASP dei principali rischi per la sicurezza delle API per il 2023.Di

2023 年の主要な API セキュリティ リスクに関する OWASP のランキングが発表されました。 このリストには、2019 年のリストと多くの類似点、いくつかの再編成/再定義、およびいくつかの新しい概念が含まれています。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

2023 年の主要な API セキュリティ リスクに関する OWASP のランキングが発表されました。 このリストには、2019 年のリストと多くの類似点、いくつかの再編成/再定義、およびいくつかの新しい概念が含まれています。

2023 年の OWASP トップ 10 API セキュリティ リスクと 2019 年バージョンとの比較は次のとおりです。

脅威もリスクも、数年にわたって劇的に変化することはありません。 しかし、それらは進化し、それらに対する私たちの理解も同様に進化します。 これは、新しいリストというよりも既存のリストを改良した 2023 年のリストによって実証されています。

OWASP リストは共同作業によるものです。 その価値を疑う人はいませんが、関係者も含めて、すべての詳細に同意しているわけではありません。 API3 から過剰なデータ露出を削除することを考えてみましょう。

「これは、機密データの漏洩を解決したことを意味しますか?」 Cequence Security のジェイソン・ケント氏は尋ねます。 「いいえ、機密データの漏洩は大きな問題です。API 3 の 2023 バージョンでは、誰かが機密データの漏洩を次のステップに進め、プロパティ レベルの認証を突破する例が見られます。これは直接の置き換えではありません。 「リスト内の項目のうち、機密データの公開に依存するものは、これが正しい表現方法ですか? 私はそうは思いません。これはさまざまな意見がある一例です。」

同時に、根本的に同じリスクがあるとして、彼は API6 での名前変更を賞賛しました。 リストされている例は基本的に同じです。どちらもライドシェア アプリ用であり、どちらもバックエンドの何かを利用しています。 「ネーミングには微妙な点があり、2023 年のネーミングは漠然としていてわかりにくいというよりも、修正する必要があるように見えます。また、これは、適切に機能していない API セキュリティがどのようにして攻撃の自動化につながるかについての私たちの調査結果も示しています。それに対して利用されました。」

項目化され順序付けされたリスク リストを作成する際の主な問題は、リスクの連鎖です。 多くの場合、侵害は被害者が忘れた API (API9) から始まります。 これにより、機密ユーザー データ (API1) が提供され、攻撃者にボットの作成を促し、可能な限り迅速に欠陥を悪用する可能性があります (API6 について触れます)。

「新しい API トップ 10 は完璧ではないかもしれません」と Kent 氏は結論づけています。「しかし、これは私たちがここ数年間知ってきたことを正確に示しています。API セキュリティの状況は変化しており、組織はそれに合わせて変化する必要があります。 API がどこにあるのかを知り、欠陥がないかテストしたり、未知のフローを攻撃するボットを軽減したりするには、API のセキュリティに全員が焦点を当てる必要があり、この新しいリストは出発点として最適です。」

関連している: OWASP トップ 10 が 3 つの新しいカテゴリで更新されました

関連している: 2017 OWASP トップ 10 の最終版がリリースされました

関連している: OWASP が 2017 年のトップ 10 に向けて新たな脆弱性を提案

Kevin Townsend は SecurityWeek の上級寄稿者です。 彼はマイクロソフトが誕生する前からハイテク問題について執筆し続けています。 過去 15 年間、彼は情報セキュリティを専門としてきました。 そして、タイムズやフィナンシャル・タイムズから、現在と昔のコンピュータ雑誌に至るまで、数十の異なる雑誌に何千もの記事が掲載されてきました。

SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

SecurityWeek の脅威検出およびインシデント対応サミットには、世界中のセキュリティ専門家が集まり、侵害、APT 攻撃、脅威インテリジェンスに関する戦争の話を共有します。

Securityweek の CISO フォーラムでは、今日のセキュリティ リーダーが最も懸念している問題や課題、そして企業の主力防御者としての将来がどうなるかについて取り上げます。

方針を堅持し、戦略的目標を堅持することで、セキュリティ専門家は組織のセキュリティ体制を着実かつ継続的に改善することができます。(Joshua Goldfarb)

デッドエンド AI の未来に直面した場合、サイバーセキュリティ業界は従来のアプローチ、特に人間主導のアプローチに大きく依存し続けることになります。 ただし、いつも通りにはいかないでしょう。(オリバー・ロッチフォード)

チームが企業のサイロを打破し、何が起こっているかを確認して理解する方法があれば、ますます分散し多様化する環境全体の保護を向上させることができます。(Matt Wilson)

セキュリティ組織が重点を置いているユースケースに関係なく、脅威の状況を理解することから始めなければ、時間とリソースを無駄にし、誤った決定を下す可能性があります。(Marc Solomon)

業界標準のフレームワークやガイドラインにより、多くの場合、組織はより多くのセキュリティ ソリューションを導入することで脅威に対する保護が強化されると信じ込んでしまいます。(Torsten George)

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

ソフトウェアのソースコードを保護するソリューションを提供する新興企業Cycodeは、火曜日に460万ドルのシード資金を獲得してステルスモードから抜け出した。

PayPal は、約 35,000 人の個人に対し、アカウントがクレデンシャル スタッフィング キャンペーンの標的にされていることを警告しています。

GitHub は今週、GitHub Desktop および Atom アプリケーションに使用されている 3 つの証明書の失効を発表しました。

Drupal は、Drupal コアと 3 つのプラグインの 4 つの脆弱性を解決するアップデートをリリースしました。

ソース管理管理 (SCM) サービス Kudu の CSRF 脆弱性が悪用され、複数の Azure サービスでリモート コードが実行される可能性があります。

アプリケーションのセキュリティへのルートは数多くありますが、セキュリティ チームがアプリケーションを迅速かつ簡単に保護し、セキュリティ体制に影響を与えることを可能にするバンドル...

フォーティネットは月曜日、FortiOS SSL-VPN 製品の重大な脆弱性をカバーする緊急パッチを発行し、ハッカーがすでにこの脆弱性を悪用していると警告しました。

多くの開発者やセキュリティ担当者は、API 認証情報の侵害による侵害を経験したことを認めています。