伴随着全球数字经济的浪潮，API已然成为企业数字化转型中连接万物的”钥匙”，可预见API数量将爆炸式增长。OWASP为强调API安全的重要性，在2019年首次提出了API Security Top 10。后于2023年发布了API Security Top 10（候选版）的内容更新。该更新内容进一步强调了API攻击场景与Web攻击的差异化，突出API权限管理、资产管理、业务风控及供应链问题。

主要变化如下图所示：

新增的风险：

OWASP API Top 10 2023 新增了对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API的不安全使用三类。

敏感业务访问无限制（Unrestricted Access to Sensitive Business Flows）在 OWASP API 2023 年10强榜单中排名第6，缺乏API完整的业务视图往往会导致此问题的存在。

服务端请求伪造（SSRF）登上了最新的 OWASP Top 10 Web 应用程序漏洞榜单，今年也进入了 API Top 10 榜单。SSRF在2023 API前10名榜单中排名第7。SSRF之所以能上榜，主要是由于这些年来SSRF攻击的显着增加，在现代 IT架构中，越来越多的容器化组件使用 API 通过可预测的路径进行通信。开发人员还倾向于根据用户输入访问外部资源，例如基于 URL 的文件获取、自定义单点登录 (SSO)、URL 预览等。虽然这些功能增强了应用程序的功能，同样也使利用 SSRF 漏洞变得更加常见。

API 的不安全使用（Unsafe Consumption of APIs）是2023 年榜单中的第三个新成员，排名第 10。与用户输入相比，开发人员更倾向于信任从第三方 API 接收的数据，而当依赖的第三方的API存在风险时将被攻击者利用。

更新的风险：

用户身份认证失败（Broken User Authentication ）修改为身份认证失败 （Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

损坏的对象属性级别授权（ Broken Object Property Level Authorization），在最新列表中排名第 3，结合了数据过度暴露 (API03:2019)和批量分配 (API06:2019)。这两个漏洞都强调需要正确保护 API参数 ，以防止威胁参与者未经授权的访问和利用。

资源访问无限制（Lack of Resources and Rate Limiting ）已重命名为资源消耗无限制（Unrestricted Resource Consumption）。以前，重点只放在漏洞上，但现在资源消耗无限制还强调了没有适当的速率限制和其他资源使用限制的后果。

删除的风险：

日志和监控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection） 已从 OWASP API Top 10 2023 列表中删除。

防范措施：

从对用户本身的认证，将范围扩展到“人机”身份保护范围，为每一个主机调用设备提供一种加密的、可校验唯一性的数字身份凭证；

通过检查入参/出参以及返回响应体，对于数据级的安全控制，保护数据泄露的风险；

在所有传入参数和有效载荷上定义并强制执行数据的最大大小，对客户端在定义的时间范围内与API交互的频率进行限制（速率限制）。限制/限制单个API客户端/用户可以执行单个操作的次数或频率；

检测出入参数调用字段、有效识别敏感字段；

对API调用的应用身份进行识别以及权限的核查管控，确保身份/权限合一，根据随请求上报的风险及历史行为识别可疑操作。