58沙龙-04-API安全-快手.docxVIP

01OWASPTOP10

01

OWASP

TOP

10

OWASP

OWASPTop10

A03：2021-注入

A03：2021-注入

A05:2021-配置错误

A05:2021-配置错误

02API安全痛点

02

API

安全痛点

甲方漏洞现状编号漏洞标题定义1水平越权对象级别的越权，通过某个遍历参数可以访问到其他对象资源2过度数据暴露依赖通用方法，开发人员倾向于公开所有对象属性而不考虑其各自的敏感度，依赖客户端在向用户显示数据前执行数据筛选，返回的数据也缺失脱敏操作3注入当不受信任的数据作为命令或查询的一部分发送给解释器时，就会出现注入缺陷，如SQL、NoSQL、命令注入等。攻击者的恶意数据可诱使解释器在未经恰当授权的情况下执行非预期的命令或访问数据4业务安全缺陷业务逻辑上的缺陷，主要是过分信任用户的输入，这些漏洞跟业务强相关5安全配置错误安全错误配置通常是由于不安全的默认配置、不完整或临时配置、开放云存储、开发

甲方漏洞现状

编号

漏洞标题

定义

1

水平越权

对象级别的越权，通过某个遍历参数可以访问到其他对象资源

2

过度数据暴露

依赖通用方法，开发人员倾向于公开所有对象属性而不考虑其各自的敏感度，依赖客户端在向用户显示数据前执行数据筛选，返回的数据也缺失脱敏操作

3

注入

当不受信任的数据作为命令或查询的一部分发送给解释器时，就会出现注入缺