巧用对策防范OWASP_十大API_安全风险_15页_2mb.pptx

;

OWASP10大漏洞;;当客户端的授权未经过正确验证即可访问特定对象ID时，就会产生失效的对象级授权(BOLA)漏洞。此漏洞为攻击者直接访问资源敞开了方便之门，让他们能够绕过预期的应用程序工作流并对敏感数据进行未授权访问。为降低此风险，企业应该避免单纯地依赖于客户端在请求中传递的对象ID，可改为使用不可猜测的随机对象ID，从而确保对每个对象进行强力验证。在适当的时候，掩藏对象的真实ID可以提供一层额外的安全保护。;失效的身份验证指的是身份验证过程中的大量漏洞，这些漏洞会将系统暴露在攻击者面前，而攻击者能够利用这些漏洞来破坏API对象防护机制。通常，攻击者会利用失效的