OWASP Top 10 API Security Risks – 2023
このセクションでは、OWASP Top 10 API Security Risksに関するドキュメントを提供します。
Contents
| Risk | Description |
|---|---|
| API1:2023 - Broken Object Level Authorization | APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user. APIはオブジェクト識別子を扱うエンドポイントを公開しがちで、オブジェクトレベルのアクセス制御に関する広い攻撃面を生みます。ユーザーから渡されたIDを用いてデータソースへアクセスするあらゆる処理で、オブジェクトレベルの認可チェックを考慮すべきです。 |
| API2:2023 - Broken Authentication | Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementation flaws to assume other user's identities temporarily or permanently. 認証機構が不適切に実装されることが多く、攻撃者が認証トークンを奪取したり実装の欠陥を悪用して、他ユーザーになりすます(短期間または恒久的に)ことを許してしまいます。 |
| API3:2023 - Broken Object Property Level Authorization | This category combines API3:2019 Excessive Data Exposure and API6:2019 - Mass Assignment, focusing on the root cause: the lack of or improper authorization validation at the object property level. このカテゴリは「API3:2019 過剰なデータ露出」と「API6:2019 一括代入」を統合し、根本原因――オブジェクトのプロパティレベルでの認可検証の欠如または不備――に焦点を当てます。 |
| API4:2023 - Unrestricted Resource Consumption | Satisfying API requests requires resources such as network bandwidth, CPU, memory, and storage. Successful attacks can lead to Denial of Service or an increase of operational costs. APIリクエストを満たすには、ネットワーク帯域、CPU、メモリ、ストレージなどのリソースが必要です。攻撃が成功すると、サービス拒否(DoS)や運用コストの増大につながります。 |
| API5:2023 - Broken Function Level Authorization | Complex access control policies with different hierarchies, groups, and roles, and an unclear separation between administrative and regular functions, tend to lead to authorization flaws. 階層・グループ・ロールが入り組んだアクセス制御や、管理機能と一般機能の境界の不明確さは、認可の不備を招きがちです。 |
| API6:2023 - Unrestricted Access to Sensitive Business Flows | APIs vulnerable to this risk expose a business flow - such as buying a ticket, or posting a comment - without compensating for how the functionality could harm the business if used excessively in an automated manner. このリスクに脆弱なAPIは、チケット購入やコメント投稿といったビジネスフローを、過剰な自動化利用が事業に与える影響を補うことなく公開しています。 |
| API7:2023 - Server Side Request Forgery | Server-Side Request Forgery (SSRF) flaws can occur when an API is fetching a remote resource without validating the user-supplied URI. SSRF(サーバサイド・リクエスト・フォージェリ)は、ユーザー提供のURIを検証せずにリモートリソースを取得する際に発生します。 |
| API8:2023 - Security Misconfiguration | APIs and the systems supporting them typically contain complex configurations, meant to make the APIs more customizable. Software and DevOps engineers can miss these configurations, or don't follow security best practices. APIとそれを支えるシステムは、カスタマイズ性を高めるために複雑な設定を含むのが一般的です。ソフトウェア/DevOpsエンジニアが設定を見落としたり、設定に関するセキュリティベストプラクティスに従わないと、さまざまな攻撃への扉が開かれてしまいます。 |
| API9:2023 - Improper Inventory Management | APIs tend to expose more endpoints than traditional web applications, making proper and updated documentation highly important. APIは従来のWebアプリよりも多くのエンドポイントを公開しがちで、正確かつ最新のドキュメントが非常に重要です。 |
| API10:2023 - Unsafe Consumption of APIs | Developers tend to trust data received from third-party APIs more than user input, and so tend to adopt weaker security standards. 開発者はサードパーティAPIからのデータをユーザー入力より信用しがちで、その結果、弱いセキュリティ基準を採用してしまうことがあります。 |