Web安全
基础漏洞
01前端基础【HTML】
02前端基础【CSS】
03后端基础【PHP速通】
04后端基础【PHP面向对象】
05MySQL基础操作
06前后端联动【代码练习】
07SQL注入【1】
07SQL 注入【2】
08SQL注入 Labs
08SQL注入速查表
09XSS
09跨站脚本攻击【XSS】
09XSS Labs
10跨站请求伪造【CSRF】
11服务器端请求伪造【SSRF】
12XML 外部实体注入【XXE】
13代码执行漏洞
14命令执行漏洞
15文件包含漏洞
16文件上传漏洞
17反序列化漏洞
18业务逻辑漏洞
19未授权访问漏洞集合
20跨源资源共享【CORS】
21SSTI模板注入
22并发漏洞
23点击劫持【Clickjacking 】
24请求走私
25路径遍历
26访问控制
27身份验证漏洞
28WebSocket
29Web缓存中毒
30HTTP 主机头攻击
31信息泄露漏洞
32原型污染
33NoSQL注入
API 安全
01web应用程序
02HTTP协议
03API概述
04分类类型
05交换格式
06身份验证
07常见API漏洞
08crAPI靶场
09JWT
10OAuth 2.0身份验证
11GraphQL【1】
11GraphQL【2】
12DVGA靶场
13服务器端参数污染
14API文档
15API Labs
16OAuth Labs
17GraphQL API Labs
18JWT Labs
小程序
小程序抓包
数据库
MySQL
Oracle
MongoDB
Redis
PostgreSQL
SQL server
中间件
Nginx
Apache HTTP Server
IIS
Tomcat
框架
ThinkPHP
Spring
Spring Boot
Django
访问控制
-
+
首页
API 安全
### API 安全的本质与挑战 API(Application Programming Interface)作为现代软件系统的 “数字桥梁”,连接了前端应用、后端服务、第三方系统和物联网设备,但其开放性和复杂性使其成为网络攻击的**首要目标**。根据 Gartner 数据,2025 年超过 90% 的 Web 攻击将针对 API,而 API 安全的独特挑战包括: - **攻击面扩大**:微服务架构下,API 端点数量可能是传统 Web 应用的 10 倍以上; - **协议透明性**:HTTP/S 协议的可探测性使攻击者易通过工具枚举 API 路径; - **状态无感**:API 通常无会话上下文,传统 WAF 难以识别异常请求; - **业务逻辑风险**:如支付流程、秒杀活动的 API 若未设计防重放机制,易被利用实施恶意操作。 ### API 安全的核心防御维度 与传统 Web 安全相比,API 安全需更关注**授权模型、数据控制和动态防护**: - **身份验证**:避免使用静态 API Key,优先采用 OAuth 2.0、JWT 等标准协议; - **细粒度授权**:基于角色(RBAC)或属性(ABAC)的访问控制,防止水平越权(用户 A 访问用户 B 数据)和垂直越权(普通用户调用管理员 API); - **数据治理**:通过字段级过滤(如 GraphQL 的 @skip 指令)防止过度数据暴露,敏感数据需加密传输(TLS 1.3+)和存储(AES-256); - **动态防护**:API 网关需集成速率限制(如每秒 100 次请求)、请求签名验证和异常流量检测。 ### OWASP API Security Top 10 **主项目页面**:https://owasp.org/www-project-api-security/ OWASP API Security Top 10(简称 APIsec Top 10)是 OWASP 于 2019 年发布的首个针对 API 的专项风险列表,每 3-4 年更新一次。其目标是通过**社区协作**和**数据驱动**,识别 API 特有的高风险漏洞。 2023 版基于全球 1200 + 真实攻击案例,由微软、谷歌等企业的安全专家共同制定,与 OWASP Top 10 形成互补 —— 前者聚焦 API 特有风险(如资源消耗限制),后者覆盖通用 Web 漏洞(如 XSS)。 **2023 版核心内容解析** | 排名 | 漏洞类别(API1-2023) | 核心说明 | 典型场景 | | ---- | ------------------------ | -------------------------------- | ------------------------------------------------------------ | | 1 | 失效的对象级授权 | 未验证用户对资源的访问权限 | 攻击者修改 URL 中的`user_id`参数,查看其他用户订单 | | 2 | 失效的身份认证 | 认证机制设计缺陷(如无会话过期) | 暴力破解无锁定机制的重置密码 API | | 3 | 失效的对象属性级授权 | 未限制对对象内部属性的访问 | 用户通过 API 修改他人订单的`total_price`字段 | | 4 | 资源消耗不受限制 | 无速率限制导致 DoS 或经济损失 | 攻击者调用短信验证 API 发送数万次请求,消耗企业通信费用 | | 5 | 失效的功能级授权 | 普通用户可执行管理员操作 | 未经验证的 API 端点暴露管理员功能(如`/api/admin/delete-user`) | | 6 | 敏感业务流程无限制访问 | 未设计防重放、防并发机制 | 秒杀活动中,攻击者通过脚本并发请求抢占库存 | | 7 | 服务器端请求伪造(SSRF) | 利用 API 访问内网资源 | 通过图片上传 API 的`url`参数发起内网端口扫描 | | 8 | 安全配置错误 | 未禁用调试模式或保留默认配置 | API 响应包含`X-Debug: true`头部,暴露系统信息 | | 9 | 库存管理不当 | 未跟踪测试环境 API 的安全性 | 测试 API 未部署速率限制,被用于暴力破解生产环境账号 | | 10 | 日志与监控不足 | 无访问审计记录 | 数据泄露事件发生后,无法追溯攻击路径 |
毛林
2025年9月7日 11:23
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码