Mataupu lalafi
1 262-000177-001 OWASP Top 10 Mo API Puipuiga
2 Fa'amatalaga o oloa
2.1 Fa'amatalaga
2.2 Fa'atonuga o le Fa'aaogaina o Mea
2.2.1 Folasaga ile API Security
2.2.2 API Saogalemu Pepa Fa'a'ole'ole
2.2.3 Fa'ata'ita'iga Taiala I lugaview
2.3 Fesili e Fai soo (FAQ)
2.3.1 Q: Aisea e taua ai le saogalemu API?
2.3.2 F: E fa'afefea ona ou fa'atinoina API saogalemu?
2.3.3 Pepa / Punaoa
2.3.3.1 Fa'asinomaga

262-000177-001 OWASP Top 10 Mo API Puipuiga

Fa'amatalaga o oloa

Fa'amatalaga

  • Igoa Oloa: Taiala mo le Fa'atupuina o le 2023 OWASP Top 10 mo API
    Saogalemu
  • I totonu: Pepa fa'a'ole'ole saogalemu API, Fa'amatalaga, ma fa'amatalaga
    taiala mo le 2023 OWASP Top 10 mo API Security

Fa'atonuga o le Fa'aaogaina o Mea

Folasaga ile API Security

O lo'o tu'uina mai e le Developer Guide fa'amatalaga atoatoa i le
2023 OWASP Top 10 mo le API Security, faʻamaonia le saogalemu masani
lamatiaga pe a atiaʻe tusi talosaga ma API.

API Saogalemu Pepa Fa'a'ole'ole

O lo'o lisiina e le pepa fa'a'ole'ole vaega nei ole puipuiga ole API
tulaga lamatia:

  1. Fa'atagaga Tulaga Fa'atonu
  2. Fa'amaoniaga Gausia
  3. Fa'atagaga Tulaga o Meatotino Meatotino
  4. Le Fa'atapula'aina o Punaoa Fa'aaogāina
  5. Fa'atagaga Tulaga Gaoioiga malepe
  6. Avanoa Le Fa'atapulaaina i Faiga Pisinisi Ma'ale'ale
  7. Talosaga Fa'atauga a le Itu Tulaga
  8. Saogalemu Sesconfiguration
  9. Pulea le lelei o Inventory
  10. Le Fa'aaogaina ole API

Fa'ata'ita'iga Taiala I lugaview

O le taʻiala e suʻesuʻe i vaega taʻitasi API saogalemu tulaga lamatia, saunia
fa'amatalaga au'ili'ili ma ta'iala ile fa'afefeteina ma fa'aitiitia
lelei nei tulaga lamatia.

Fesili e Fai soo (FAQ)

Q: Aisea e taua ai le saogalemu API?

A: E taua tele le saogalemu o le API aua e masani ona fa'aalia e API ni fa'amatalaga ma'ale'ale
ma fa'atatauga fa'aoga, ma avea ai ma fa'amoemoe autu mo tagata osofa'i.
O le malupuipuia o API e taua tele mo le puipuia o soliga o faʻamatalaga ma
fa'amautinoaina le saogalemu o le faiga atoa.

F: E fa'afefea ona ou fa'atinoina API saogalemu?

A: Ina ia faʻatinoina APIs saogalemu, mulimuli i faiga sili e pei ole
fa'amaoni sa'o, faiga fa'ataga, fa'amaoniga o mea e tu'uina atu,
fa'ailoga o fa'amatalaga ma'ale'ale, ma su'esu'ega masani mo le puipuiga ma
fa'afouga.

“`

View Fullscreen

PEPA PA'ENE
Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

Mataupu

API puipuiga malu pepa olegia

5

Uiga

5

API1:2023–Faatagaga Tulaga o Mea

7

API2:2023–Fa'amaoni Ta'atia

8

API3:2023–Faatagaga Tulaga Meatotino Meatotino

9

API4:2023–Le Fa'asaina Punaoa Fa'aaogāina

11

API5:2023–Faatagaga Tulaga Gaoioiga malepe

13

API6:2023–E Le Fa'atapulaaina Avanoa i Tafe ma'ale'ale Pisinisi

14

API7:2023–Talosaga Faagatama a le Itu Tulaga

16

API8:2023–Saogalemu Sesconfiguration

18

API9:2023–Le lelei Puleaina o Fa'amaumauga

19

API10:2023–Fa'aaogaina le saogalemu o API

21

E le lava le API Security Top-10!

23

Fa'ai'uga

23

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

2/23

Aʻo faʻaaogaina e kamupani atinaʻe faʻapitoa ma le DevOp-style methodologies, web O feso'ota'iga polokalame fa'aoga, po'o API, ua fa'ateleina. O nisi o API e sili ona ta'uta'ua lautele e aofia ai i latou e mafai ai e tagata atia'e ona maua le Google Search, su'e fa'amaumauga mai TikTok, siaki ta'avale, aoina sikoa ta'aloga, ma aoina fa'amaumauga i ata la'uina mai nofoaga ta'uta'ua.1 I le 2023, API-related traffic accounts mo le 58 pasene o fa'amalosi uma-fa'amatalaina e le mafai ona fa'aogaina-feso'ota'iga, mai le 54 pasene i le fa'ai'uga o le 2021.2.
APIs ua avea ma auala mo atinaʻe talosaga e fesoʻotaʻi ma tuʻufaʻatasia le tasi ma le isi. Kamupani fa'aaoga e tusa ma le lua vaetolu o latou APIs (64%) e fa'afeso'ota'i a latou talosaga i pa'aga, ae tusa ma le afa (51%) o avanoa avanoa i microservices. I le aotelega, e sili atu i le tolu-kuata o kamupani latou te fa'aogaina le averesi o le 25 API i le talosaga.3
E le o se mea e ofo ai le faʻaaogaina o atinaʻe faʻavae API: Kamupani e faʻaaogaina API e tosina mai ai le au atinaʻe lona tolu ma fatuina faʻalapotopotoga faʻanatura e vaʻaia le faʻatupulaia o le tuputupu aʻe. O nei "faʻalapotopotoga faʻaliliu" - e taʻua ona latou te fesuiaʻi manatu masani o le fausiaina o pa puipui i tekinolosi ma faʻatagaina avanoa avanoa i nisi o gafatia ma faʻamaumauga - na faʻatupulaia i le toeitiiti 13 pasene i le lua tausaga, ma le 39 pasene i luga o le 16 tausaga, faʻatusatusa i kamupani e leʻi faʻaaogaina API, e tusa ai ma le 2022 pepa a tagata suʻesuʻe i le Chapman University ma Boston University.
Faatasi ai ma le faʻaaogaina o microservices, containerization, ma APIs, e ui i lea, e oʻo mai ai le tele o lamatiaga, e pei o le le saogalemu o mea faʻapipiʻi, le lelei o pisinisi, ma le faʻaletonu o faʻamaumauga. O faalapotopotoga e iva i le sefulu (92%) na mafatia i le itiiti ifo ma le tasi le mea na tupu e fesoʻotaʻi ma API le saogalemu.5 O kamupani tetele e masani ona i ai le faitau afe o API ma osofaʻiga i luga o na faiga e tusa ma le 20 pasene o faʻalavelave faʻalavelave, ae o kamupani laiti e iai le selau o API o latou osofaʻiga laiti i luga o le faʻamatalaga mo le lima pasene o faʻalavelave faʻalavelave. saunia e Marsh McLennan.6
1 Arellano, Keli. Le Top 50 sili ona lauiloa APIs. RapidAPI Blog. RapidAPI. Web Itulau. 16 Mati 2023.
2 Tremante, Mikaele, et al. Lipoti Puipuiga o Talosaga: Q2 2023. Cloudflare Blog. Cloudflare. Fa'asalalauga blog. 21 Aukuso 2023.
3 Mareko, Melinda. Puipuia le API Attack Surface. Enterprise Strategy Group. Lagolagoina e Palo Alto Networks. PDF Lipoti, i. 10. 23 Me 2023.
4 Benzell, Seth G., et al. Fa'afefea ona fa'atupuina e API le tuputupu a'e e ala i le fa'aliliuina o le Kamupani. Social Science Research Network. Pepa Suesuega. Toe Iloilo: 30 Tes 2022.
5 Puipuia le API Attack surface. Enterprise Strategy Group, i. 14. 6 Lemos, Ropati. API Security Loss Aofa'i Piliona, Ae Faigofie. Faitauga Pogisa.
Tala Fou. 30 Iuni 2022. 7 Marsh McLennan. Fuafuaina o le tau ole API le saogalemu. Sponsored by Imperva.
Lipoti PDF. 22 Iuni 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

3/23

O le 2023 API Security Top-10 lisi o loʻo faʻamaonia ai le sefulu sili ona taatele ma ogaoga tulaga lamatia e faia pe a atiaʻe talosaga e faʻaalia pe faʻaogaina API.

O le faʻafitauli e matua ogaoga lava na faʻatasi ai le US National Security Agency ma le Australian Cyber ​​​​Security Center (ACSC) ma le US Cybersecurity and Infrastructure Security Agency (CISA) e tuʻuina atu taʻiala i mataupu tau le saogalemu o le API, aemaise lava le sili ona taatele, ua taʻua o le le saogalemu o le faʻaogaina o mea faʻapitoa (IDOR).8
E le o se mea e ofo ai, e faasaga i lenei tulaga o le faʻateleina o popolega mo le saogalemu, o le Open Worldwide Application Security Project (OWASP) na tuʻuina atu se faʻafouga i lana API Security Top-10 lisi. Toe faʻafouina lana lisi amata 2019, o le 2023 API Security Top-10 lisi o loʻo faʻamaonia ai le sefulu e sili ona taatele ma ogaoga faʻalavelave faʻalavelave na faia pe a atiaʻe talosaga e faʻaalia pe faʻaogaina API. O fa'afitauli e pei ole Fa'atagaga Tu'ufa'atasi o Mea, o se superset e aofia ai fa'aletonu IDOR, e tumau pea mai le lisi muamua. Peita'i, o vaega fou-po'o vaega toe fa'atulagaina-ua fa'ailoa mai ai fa'afitauli sa le'i amana'ia i aso ua tuana'i, e pei ole Server-Side Request Forgery (API7:2023) ma le Le Fa'atapula'aina Avanoa i Feso'ota'iga Pisinisi Ma'ale'ale (API6:2023).
“By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this, APIs have increasingly become a target for attackers,” the OWASP group stated in its announcement.9 “Without secure APIs, rapid innovation would be impossible.”

8 Fautuaga Fou mo Cybersecurity Lapata'i E uiga i Web Fa'aoga Fa'aletonu. National Security Agency. Fa'asalalauga Fa'asalalau. 27 Iulai 2023.
9 Tatala Poloketi Puipuiga o Talosaga i le Lalolagi Atoa. OWASP API Saogalemu Top 10: I luma. OWASP.org. Web Itulau. 3 Iulai 2023.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

4/23

API puipuiga malu pepa olegia

OWASP Top 10 vaega 1. Fa'atagaina Tulaga Fa'atonuga 2. Fa'amaoniaga Fa'amautu 3. Fa'atagaga Tulaga Meatotino Gauai 4. Fa'atauga Punaoa e le Fa'atapulaaina 5. Fa'atonuga Tulaga Gaoioiga malepe 6. Avanoa Le'o Fa'agata i Faiga Pisinisi Ma'ale'ale 7. Talosaga Talosaga a le Itu Tulaga8. Fa'aaogāina o API

Fofo saogalemu i luga ole laiga SAST SAST, DAST SAST, DAST SAST, DAST, Saogalemu API Pule SAST DAST DAST SAST, DAST Secure API Pule SCA, SAST

Uiga
API Fa'ai'uga-O le tulaga o feso'ota'iga i le va o faiga e lua, masani a URL o se atigipusa poʻo se server o loʻo faʻaogaina se microservice. Fa'aaogaina o se URL, e mafai e se talosaga poʻo se tagata faʻapipiʻi ona talosagaina faʻamatalaga mai le 'auʻaunaga pe faʻatino se gaioiga i luga o le API server poʻo le microservice.
API-Related Traffic-Internet traffic lea e aofia ai se HTTP poʻo le HTTPS talosaga ma o loʻo i ai se tali tali o le XML poʻo le JSON, e faʻaalia ai o faʻamatalaga o loʻo pasi atu i se talosaga, e masani lava e ala i le SOAP, WSDL, a REST API, poʻo le gRPC (silasila i lalo).
Dynamic Application Security Testing (DAST)-O le faʻagasologa o le suʻeina o se talosaga poʻo le API server e ala i le faʻaogaina o le atinaʻe, pe o le faʻaoga faʻaoga mo se talosaga, a web pito i luma mo a web talosaga, po o URLs mo fa'ai'uga API. I le ituaiga o suʻega pusa uliuli, o lenei faiga e iloilo ai se talosaga mai le "fafo i totonu" e ala i le osofaʻia o se talosaga i le auala lava e tasi e pei o se osofaʻiga, e masani lava e aunoa ma le iloa o faiga i totonu.
Static Application Security Testing (SAST)–O se faiga mo le saogalemu o talosaga e su'e ai le puna, binary po'o le byte code mo mamanu iloa o mea sese poʻo faʻafitauli. O nisi taimi e taʻua o suʻega paʻepaʻe, SAST faʻaogaina se "totonu-fafo" auala e faʻamaonia ai faʻafitauli ma mea sese e ono, pe leai foi, e faʻaaogaina e se tagata osofaʻi fafo. O mea faigaluega fa'amama mama e mafai ona tu'uina atu fa'amatalaga moni i tagata atia'e ile latou IDE.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

5/23

O Fa'atagaga Tulaga Fa'atonuga o se fa'amatalaga lautele ma faigofie ona fa'aogaina i totonu web talosaga ona o API telefoni e ave ai fa'amatalaga a le setete. O talosaga e fa'aletonu pe a latou fa'atagaina se tagata fa'aoga e faia ni gaioiga e ala i le fa'amaotiina o se fa'amatalaga i totonu o se API e aunoa ma le siakiina pe o iai la latou fa'atagaga e faia ai na gaioiga.

SOAP/WSDL-O se faiga fa'avae XML mo le fatuina Web API. SOAP o le protocol lava ia ma le WSDL (Web Au'aunaga Fa'auiga Gagana) o le fa'atulagaina lea e fa'amatala aloaia ai auaunaga. Ona o le mamafa o le ulu, o lenei faiga API ua le lauiloa mo atinaʻe fou.
MOTO–A Web Sitaili API e aofia ai le fefaʻasoaaʻi o feʻau i luga ole HTTP, faʻaaoga le semantics o HTTP URLs ma veape, e aunoa ma le faʻaaogaina o se "teutusi" faaopoopo. O mea e masani ona faʻailogaina o le JSON, e ui i nisi tulaga o le XML.
GraphQL–O se gagana fesili ua fuafuaina e fa'aoga i APIs (fa'atasi ai ma talosaga ma tali ile JSON), fa'atasi ai ma taimi fa'agasolo e fa'atino ai nei fesili. E mafai ai e tagata faʻatau ona faʻamalamalamaina le fausaga o faʻamaumauga latou te manaʻomia ona maua lea mai le server i lena faatulagaga.
gRPC-Ose API protocol e sili atu le maualuga o le faatinoga nai lo le REST. E fa'aogaina le HTTP/2 ma le fa'atinoga o fa'atinogatage ofoina atu i luga ole HTTP/1.1. O le faatulagaga o feʻau taʻitasi e masani lava binary ma faʻavae i luga ole ProtoBuf, toe faʻatupuina le faʻatinoga o le advantage sili atu i le MALOLOTO ma fasimoli.

2023 API Puipuiga pito i luga 10

Fa'atusa 2019 API Saogalemu Ulufale

API1:2023–Faatagaga Tulaga o Mea

API1:2019–Faatagaga Tulaga o Mea

API2:2023–Fa'amaoni Ta'atia

API2:2019–Fa'amautuga a le Tagata Fa'aaoga

API3:2023–Faatagaga Tulaga Meatotino Meatotino

API3:2019–Fa'ailoaina Tele Fa'amatalaga, API6:2019–Fa'atonu Fa'atele

API4:2023–Le Fa'asaina Punaoa Fa'aaogāina

API4:2019–Leai o Punaoa & Faatapulaaina o Tau

API5:2023–Faatagaga Tulaga Gaoioiga malepe

API5:2019–Faatagaga Tulaga Gaoioiga malepe

API6:2023–E Le Fa'atapulaaina Avanoa i Tafe ma'ale'ale Pisinisi

API7:2023–Talosaga Faagatama a le Itu Tulaga

API8:2023–Saogalemu Sesconfiguration API7:2019–Saogalemu Sesconfiguration

API9:2023–Le lelei Puleaina o Fa'amaumauga

API9:2019–Le lelei Puleaina o Aseta

API10:2023–Fa'aaogaina le saogalemu o API

API8:2019–Tuiina, API10:2019–Le lava Fa'amauina ma Mata'ituina

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

6/23

E tatau fo'i ona fa'atino lelei e le au atia'e ma 'au fa'aoga-saogalemu le fa'atinoina lelei o agava'a e siaki ai le fa'asinomaga o tagata e ala i le fa'amaoni.

API1:2023–Faatagaga Tulaga o Mea
O le a lena?
APIs fa'atagaina avanoa i auaunaga ma fa'amaumauga e fa'aoga fa'ata'atia web talosaga. Kamupani fa'aalia a latou atina'e ma fa'amaumauga i le le saogalemu o le sao sa'o pe a le lelei le puipuia o na aseta po'o pe a le lelei le fa'atinoina o le fa'atagaga pe leai. Fa'atonuga Tulaga Fa'atonuga Tu'usa'o-e ta'ua fo'i o le Insecure Direct Object Reference (IDOR)-e mafai ona o'o atu ai i ni fa'alavelave eseese, mai le fa'ailoaina atu o fa'amaumauga e o'o atu i le fa'atosina atoa o teugatupe.
O le a le mea e fa'aletonu ai se talosaga?
O se mataupu lautele ma faigofie ona faʻaaogaina i totonu web talosaga. O talosaga e fa'aletonu pe a latou fa'atagaina se tagata fa'aoga e faia ni gaioiga e ala i le fa'amaotiina o se fa'amatalaga i totonu o se API e aunoa ma le siakiina pe o iai la latou fa'atagaga e faia ai na gaioiga.
I se example auiliiliga e le OWASP, o se tulaga mo faleoloa i luga ole laiga e mafai ona faʻatagaina le avanoa i faʻamatalaga faʻatau e faʻaaoga ai se telefoni faigofie:
/shops/{shopName}/revenue _ data.json
E le saogalemu lenei mea ona e mafai e soʻo se tagata faʻaoga ona sui le shopName i le igoa o le faleoloa a le isi tagata faʻaoga, maua avanoa i faʻamatalaga e le tatau ona latou maua.
osofaiga examples
I le 2021, na maua ai e se tagata suʻesuʻe saogalemu o le web-fa'aoga ma fa'aumau tua na tu'uina atu fa'amatalaga i uila fa'amalositino a Peloton e iai ni fa'ai'uga API e mafai ai e tagata fa'aoga le fa'amaonia ona maua fa'amatalaga patino. Ia Fepuari 2021, na faʻatino ai e Peloton se vaega faʻaleleia mo le faʻafitauli, faʻatapulaʻaina le avanoa API i tagata faʻamaonia, ae faʻatagaina pea na tagata faʻaoga e maua soʻo se faʻamatalaga patino mo isi sui. Na oʻo mai se faʻatonuga atoa ia Me 2021.10
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E puipuia e le au atina'e le le saogalemu o avanoa i mea faitino e ala i le faʻamalosia o faʻatonuga faʻapitoa, tuʻuina atu faʻamatalaga tagata faʻapitoa e faʻafefe ai le faʻavasegaina o faʻamatalaga, ma le siakiina o le faʻatagaina o mea-tulaga mo galuega uma e maua ai se punaoa faʻamatalaga. E tatau i tagata atiaʻe ona faʻapipiʻi ia siaki, aemaise lava pe a faʻavae i luga o le faʻaogaina o tagata, e aveese ai le avanoa e ono faʻaleagaina ai le saogalemu o mea sese faʻafuaseʻi. Talosaga-saogalemu ma fa'atinoga fa'apolofesa e tatau ona mana'omia siaki fa'atagaga mo talosaga ta'itasi e toe fa'afo'i fa'amaumauga.
E mafai faapefea ona fesoasoani OpenText?
OpenTextTM Static Application Security Testing (SAST) ma OpenTextTM Dynamic Application Security Testing (DAST) e mafai ona iloa le tele o faʻafitauli i le Insecure Direct Object Reference (IDOR) vaega. IDOR e mafai ona aofia ai faʻafitauli e pei o le Directory Traversal, File Upload, ma File Fa'aofia. I le lautele, IDOR e aofia ai foʻi vasega o faʻafitauli e faʻaalia ai
10 Masters, Jan. Tour de Peloton: Fa'amatalaga fa'amatalaga fa'aoga. Peni Su'ega Paaga Blog. Paaga Su'ega Pen. Web Itulau. 5 Me 2021.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

7/23

E tatau fo'i ona fa'atino lelei e le au atia'e ma 'au fa'aoga-saogalemu le fa'atinoina lelei o agava'a e siaki ai le fa'asinomaga o tagata e ala i le fa'amaoni.

e mafai ona suia e ala i URL, Tino, po'o le Fa'aulu fa'atosina. O le faiga o le a faʻaalia ai le au atinaʻe i mataupu e mafai ai e le tagata faʻaoga ona filifili saʻo le ki autu ile talosaga API mo se faʻamaumauga poʻo se pusa teu oloa, o se faʻafitauli e masani ona oʻo atu i lenei vasega o faʻafitauli. E lapata'i fo'i le faiga pe a misi se siaki fa'atagaina.
API2:2023–Fa'amaoni Ta'atia
O le a lena?
O siaki fa'ataga e fa'atapula'aina le avanoa i fa'amaumauga e fa'atatau i matafaioi fa'apitoa po'o tagata fa'aoga, ae o na tapula'a e le lava e puipuia ai faiga, fa'amaumauga, ma auaunaga. E tatau fo'i ona fa'atino lelei e le au atia'e ma 'au fa'aoga-saogalemu le fa'atinoina lelei o agava'a e siaki ai le fa'asinomaga o tagata e ala i le fa'amaoni. E ui lava i le uiga taua o le faʻamaoni, o vaega e masani ona le lelei le faʻatinoina poʻo le le faʻaogaina lelei-o mafuaʻaga o le Broken User Authentication. Broken User Authentication e mafai ai e le au osofaʻi ona faʻaalia faʻamatalaga a isi tagata faʻaoga mo se taimi le tumau pe tumau e ala i le faʻaogaina o faʻamaoniga faʻamaonia le mautinoa poʻo le faʻafefeina o faʻaletonu o le faʻatinoga.
O le a le mea e fa'aletonu ai se talosaga?
O lenei mataupu masani ma faigofie ona faʻaaogaina e tupu ona o le faʻamaoni o se faiga faʻalavelave e mafai ona fenumiai ma, i lona faʻamatalaga, faʻaalia i tagata lautele. O mea sese a le atinaʻe ma faʻaoga sese e mafai ona iʻu ai i le leai o ni siaki talafeagai e mafai ai e tagata osofaʻi ona aloese mai le faʻamaoni. O tagata atiaʻe e le mafai ona faʻatinoina le faʻamaoniga mo se faʻamatalaga faʻapitoa poʻo le faʻatagaina le vaivai o le faʻamaoniga faʻamaonia e faʻaalia talosaga i ni osofaʻiga eseese, e pei o le faʻapipiʻiina o faʻamaoniga, toe faʻaalia o faʻailoga, poʻo le sogisogi o upu faʻamaonia.
osofaiga examples
I le va o Fepuari ma Iuni 2023, o osofaʻiga faʻapipiʻi faʻamaonia na taulaʻi atu i le faleoloa o lavalava Hot Topic, o ia na faʻailoa i ana tagata faʻatau e le iloa se numera o teugatupe ua faʻafefe. O le au osofa’i—fa’aaogaina fa’ailoga na maua mai i puna e le mailoa-sa mafai ona maua fa’amatalaga ma’ale’ale a le tagata lava ia, e pei o igoa o tagata fa’atau, tuatusi imeli, fa’asologa o tala, numera o telefoni, ma masina ma aso na fanau mai ai.11
Ia Fepuari 2022, na tu'u ai e se pakete fa'aputu ao sese le 1 GB o fa'amatalaga ma'ale'ale mai le auaunaga tau maketi imeli Beetle Eye e aunoa ma se puipuiga o upu fa'aigoa po'o se fa'ailoga. O fa'amaumauga na aofia ai fa'amatalaga fa'afeso'ota'i ma fa'amatalaga e feso'ota'i i turisi na aoina mai e le tele o ofisa turisi ma setete o Amerika.12 Le fa'aogaina o faiga fa'amaoni ua manatu ose suiga ole vaega Broken User Authentication.
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
11 Toula, Pili. O lo'o fa'ailoa mai e le filifili fa'atau oloa Hot Topic le galu o osofa'iga fa'ameaalofa. BleepingKomepiuta. Talafou tala. 1 Aokuso 2023.
12 Nair, Prajeet. Fa'amatalaga o le 7 Miliona Tagata Fa'aalia Via US Marketing Platform. Soliga Fa'amatalaga i Aso Nei. ISMG Network. 11 Fep 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

8/23

Standardization o lau uo mo le faʻamaoni. E tatau i 'au a DevSecOps ona faia se tasi-po'o se numera fa'atapula'a-o metotia fa'amaonia mo talosaga ma fa'amautinoa o lo'o fa'atino tutusa e le au atia'e ia faiga i luga o auaunaga laiti uma ma API.

Standardization o lau uo mo le faʻamaoni. E tatau i 'au a le DevSecOps ona faia se tasi-po'o se numera fa'atapula'a-o auala fa'amaonia mo talosaga ma fa'amautinoa o lo'o fa'atino tutusa e le au atia'e ia faiga i luga o auaunaga laiti uma ma API. So'o se fa'atinoga fa'amaonia e tatau ona toe fa'afouinaviewed i totonu o le tulaga o le OWASP Application Security Verification Standard (ASVS), o loʻo i ai nei i le version 4,13 e faʻamautinoa ai le saʻo o le faʻatinoga ma faʻatonuga saogalemu. So'o se 'ese'ese mai le fa'ata'atia-aemaise so'o se fa'aaliga fa'amoemoeina o fa'ai'uga e le'i fa'amaonia-e tatau ona iloiloina e le vaega o le puipuiga ma na'o le fa'atagaina e fa'amalieina se mana'oga malosi pisinisi.
E mafai faapefea ona fesoasoani OpenText?
OAuth ma le JWT e lua ituaiga faʻamaonia masani e faʻaaogaina e faʻaaoga ai API, ma OpenText Dynamic Application Security Testing e iai siaki mo le vaivai o faʻatinoga o tulaga uma e lua i totonu o talosaga, faʻapea foʻi ma faʻaoga sese ma mamanu vaivai, e pei o le CSRF ma le Session Fixation, e sau i faʻatinoga faʻamaonia masani. Dynamic Application Security Tool (DAST) su'esu'e e OpenText ose auala sili e iloa ai fa'aletonu fa'amaonia, aemaise ile API.
OpenText Static Application Security Testing e fa'atagaina ai le tele o siaki e fa'atatau i le le lelei o le fa'amaoni. O le meafaigaluega su'esu'e fa'apitoa e aofia ai le su'esu'eina o fa'afitauli lautele-e pei o le fa'ailoga fa'amaonia-fa'apea fo'i ma fa'afitauli fa'apitoa API e pei o le misi o tagi puipui i fa'ailoga JWT, po'o tagi o lo'o tutupu i ulutala JWT.
API3:2023–Faatagaga Tulaga Meatotino Meatotino
O le a lena?
O Fa'atagaga Tulaga Meatotino Tu'ufa'atasi o se vaega fou i le lisi o le 2023 OWASP e tu'ufa'atasia vaega e lua mai le lisi muamua: Fa'aaliga Fa'amatalaga Tele (API3:2019) ma Fa'atonuga (API6:2019). O le mataupu e mafua ona o le leai o se faʻamaoniga o le faʻatagaina a le tagata faʻaoga-poʻo le faʻatagaina le talafeagai a se tagata faʻaoga-i le tulaga-meatotino. E tatau ona fa'amaonia e fa'ai'uga API e iai le fa'atagaga mo tagata ta'itasi mo meatotino uma o lo'o taumafai e fa'aoga pe suia. O le fa'aogaina o le mataupu e mafai ona o'o atu ai i fa'amatalaga fa'amatalaga po'o le fa'aogaina o fa'amaumauga e vaega lē fa'atagaina.
O le a le mea e fa'aletonu ai se talosaga?
O le fa'afitauli masani ma faigofie ona fa'aogaina e tupu pe a fa'atagaina se tagata fa'aoga e fa'aoga nisi o meatotino o se mea fa'apitoa, e pei o le fa'asaoina o se potu i le talosaga malaga, ae le o isi, e pei o le tau o se potu. A maua e le tagata faʻaoga meatotino a se mea e ala i se API, e tatau i le talosaga ona siaki le tagata faʻaoga:
· E tatau ona mafai ona maua le avanoa i meatotino patino o le mea
13 OWASP Application Security Verification Standard. OWASP. GitHub itulau. Fa'ai'uga mauaina: 17 Novema 2023.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

9/23

O Fa'atagaga Tulaga Meatotino Tu'ufa'atasi o se vaega fou i le lisi o le 2023 OWASP e tu'ufa'atasia vaega e lua mai le lisi muamua: Fa'aaliga Fa'amatalaga Tele (API3:2019) ma Fa'atonuga (API6:2019).
O le OpenTextTM Static Application Security Testing e fesoasoani e puipuia ai le tele o faʻamatalaga faʻamatalaga ma le tele o faʻatonuga e ala i suʻesuʻega o faʻamaumauga. O le faiga o le a faʻaalia ai le tele o punaʻoa o faʻamatalaga tumaoti, e pei o na faʻavae i luga o igoa fesuiaiga poʻo faʻapitoa API telefoni, ma faʻailoa mea e mafai ai ona faʻatonuina le tele.

(soliga sa ta'ua muamua o le Exessive Data Exposure), ma/po'o
· Ua fa'atagaina e sui le mea totino patino o le mea (o nisi tusi talosaga e le mafai ona siaki lenei mea ona latou te fa'aogaina se fa'avae e otometi ai le fa'afanua web talosaga tapula'a i fanua mea, o se fa'afitauli ua ta'ua o Mass Assignment).
I se OWASP example, o se ata vitio i luga o le initaneti e mafai ai e se tagata faʻaoga ona suia le faʻamatalaga o se vitio, e oʻo lava i se vitio poloka, ae e le tatau ona faʻatagaina le tagata faʻaoga e suia le 'poloka' meatotino.
PUT /api/video/update_video
{
“faamatalaga”: “se vitio malie e uiga i pusi”,
“poloka”: sese
}
osofaiga examples
Ia Ianuari 2022, na maua ai e se polokalama o le bug bounty se faaletonu i le Twitter lea na mafai ai e se tagata faaaoga ona auina atu se tuatusi imeli po o se numera o le telefoni i le polokalama a le Twitter, ona toe faafoi atu lea o le igoa o le tala lea e i ai le faamatalaga.14 Na faaaoga e se tagata osofaia e le mailoa le faaletonu e tuufaatasia ai se lisi o le faitau miliona o tagata faaaoga tala e fesootai i numera o telefoni ma tuatusi imeli. E ala i le fa'atagaina o so'o se tasi e fa'afeso'ota'i ni meatotino se lua, na fa'ataga ai e le Twitter tagata fa'aoga fa'aigoa e fa'ailoa fa'apitoa.
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E tatau i le au atinaʻe ona faʻatino i taimi uma faʻatonuga talafeagai i le mafai ona maua pe suia mea faʻapitoa. Nai lo le toe fa'afo'iina o se fausaga fa'amaumauga lautele ma meatotino uma-lea e masani ona tupu i metotia lautele, e pei o le to_json() ma le to_string()-e tatau ona matua'i fa'apitoa le au fai polokalame i fa'amatalaga latou te toe fa'afo'i mai. I le avea ai o se fua fa'aopoopo o le puipuiga, e tatau i tusi talosaga ona fa'atinoina le fa'amaoniga tali fa'avae e fa'amalosia ai le fa'atonutonuina o le puipuiga i fa'amaumauga uma na toe fa'afo'i mai e ala API. O avanoa e tatau ona mulimulita'i i mataupu fa'apitoa fa'apitoa, na'o le fa'atagaina o avanoa pe a matua'i mana'omia.
E mafai faapefea ona fesoasoani OpenText?
O le OpenTextTM Static Application Security Testing e fesoasoani e puipuia ai le tele o faʻamatalaga faʻamatalaga ma faʻatonuga tele e ala i suʻesuʻega o faʻamaumauga. O le faiga o le a faʻaalia ai le tele o punaʻoa o faʻamatalaga tumaoti, e pei o na faʻavae i luga o igoa fesuiaiga poʻo faʻapitoa API telefoni, ma faʻailoa mea e mafai ai ona faʻatonuina le tele. E mafai e tagata fa'aoga ona fa'amatala fa'apogai mo latou lava, su'esu'eina fa'amaumauga e ala i le polokalame, ma afai e fa'ai'u i se nofoaga le talafeagai, fa'ailoa atu i le fa'atupuina po'o le fa'afoeina le tulaga lamatia.

14 Ose fa'alavelave na a'afia ai nisi o tala ma fa'amatalaga patino i luga ole Twitter. Twitter Privacy Center. Twitter. Web Itulau. 5 Aokuso 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

10/23

O talosaga e le fa'agata ai punaoa ua tu'uina atu e fa'amalieina ai se talosaga e mafai ona a'afia, e aofia ai i latou e le mafai ona fa'atapula'aina le manatua, numera o files po'o faiga fa'aogaina, po'o le fua fa'atagaina o talosaga, fa'atasi ai ma isi uiga.

E le gata i lea, o le OpenText SAST o loʻo i ai le malamalama i le JSON sili ona taua ma le XML faʻasologa ma le faʻaogaina o masini. I le fa'aaogaina o lenei mea, e mafai ai e le meafaigaluega ona iloa le fa'ailoga e le fa'aleaga lelei ai le fa'aliliuina o mea (DTOs), lea e mafai ona fa'atagaina ai le tele o fa'atonuga o ona uiga. O nisi tulaga o fa'amatalaga fa'aalia ma le tele o tofiga e mafai fo'i ona iloa ile fa'aogaina ole OpenText Dynamic Application Security Testing. Ma le mea mulimuli, e mafai ona fa'atinoina nisi o faiga e ala i le fa'aopoopoina o tulafono i le web puipui afi (WAF).
API4:2023–Le Fa'asaina Punaoa Fa'aaogāina
O le a lena?
APIs e fa'aalia le tele o galuega aoga fa'apisinisi. Ina ia faia, latou te fa'aogaina punaoa fa'akomepiuta e pei o fa'amaumauga tu'ufa'atasi po'o le avanoa i se vaega fa'aletino e ala i tekinolosi fa'agaioiga. Talu ai ona o faiga e i ai se seti o punaoa e tali atu ai i valaau API, e mafai e tagata osofaʻi ona faia faʻapitoa talosaga e fai ni faʻataʻitaʻiga e mafua ai le vaivai o punaoa, faʻafitia o le tautua, poʻo le faʻateleina o tau pisinisi. I le tele o tulaga, e mafai e tagata osofaʻi ona tuʻuina atu talosaga API e faʻapipiʻi ai punaoa taua, faʻafefeina le masini poʻo le bandwidth punaoa ma iʻu ai i se osofaʻiga faʻafiti-o-auaunaga. E ala i le tuʻuina atu o talosaga faifaipea mai tuatusi IP eseese poʻo faʻasologa o ao, e mafai e tagata osofaʻi ona alo ese puipuiga ua fuafuaina e iloa ai faʻalavelave masalosalo i le faʻaaogaina.
O le a le mea e fa'aletonu ai se talosaga?
API requests trigger responses. Whether those responses involve accessing a database, performing I/O, running calculations, or (increasingly) generating the output from a machine-learning model, APIs use computing, network, and memory resources. An attacker can send API requests to an endpoint as part of a denial-of-service (DoS) attack that, rather than overwhelm bandwidth–the goal of a volumetric DoS attack–instead exhaust CPU, memory, and cloud resources. Applications that do not limit the resources assigned to satisfy a request can be vulnerable, including those that fail to restrict allocable memory, number of files po'o faiga fa'aogaina, po'o le fua fa'atagaina o talosaga, fa'atasi ai ma isi uiga.
E mana'omia e le server o lo'o fa'agaoioia API e iai ni tapula'a e puipuia ai le tele o le fa'asoaina o manatuaga ma le mamafa o galuega, le tele o talosaga mo fa'agaioiga API, po'o le tele o totogi mo se isi vaega e aunoa ma le fa'aaluina o tapula'a.
A common attack is to modify the arguments passed to the API endpoint, such as increasing the size of the response and requesting millions of database entries, rather than, say, the first ten:
/api/users?page=1&size=1000000
E le gata i lea, afai e mafai e le tagata osofaʻi ona maua se auʻaunaga pito i tua e totogi mo le faʻaaogaina, e mafai ona faʻaogaina osofaʻiga faʻaogaina o punaoa e faʻaalu ai tau mo le tagata e ona le talosaga. O le isi OWASP example faasino atu i se vaega toe setiina-password lea e faaaoga ai se feau tusitusia SMS e faamaonia ai le faasinomaga ma e mafai ona valaau i le faitau afe o taimi e faateleina ai tupe faaalu mo le tagata manua.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

11/23

Fa'amama i le pito o le feso'ota'iga e fa'aoga ai feso'ota'iga tu'uina atu mea (CDNs) fa'atasi ma web e mafai ona fa'aitiitia lologa o feoaiga a'o fa'aitiitia le a'afiaga i tagata ta'ito'atasi.

POST /sms/send _ reset _ pass _ code
Talimalo: willyo.net {
“telefoni _numera”: “6501113434” }
osofaiga examples
Talu ai o osofaʻiga faʻaaogaina punaoa e masani ona tuʻufaʻatasia ma faʻatinoga ma avanoa avanoa, o kamupani faʻatatau e masani ona faʻaogaina i latou o se vaega o le tau o le faia o pisinisi, nai lo faʻalavelave e manaʻomia ona lipotia, faʻaitiitia le vaʻaia i le taufaamatau. I le 2022, o osofaʻiga a le application-layer distributed-denialof-service (DDoS), o se superset o osofaʻiga o le faʻaaogaina o punaoa API, na faʻaitiitia o se vaega o osofaʻiga uma, ae o le Q4 2022 o loʻo faʻamauina pea le 79% o osofaʻiga nai lo le kuata tutusa i le tausaga talu ai.15
I se tasi osofaʻiga na faʻamatalaina i le 2015, na maua ai e se tagata faʻapipiʻi se tagata Android na toe faʻafesoʻotaʻi le latou saite. Web API fa'atasi ai ma ki API fa'atupu fa'afuase'i, e i'u ai i se osofa'iga fa'afiti-o-au'aunaga. Na fa'apea le fa'atupuina o se talosaga leaga fa'apipi'i i masini Android o lo'o taumafai e mate le 64-bit API key.16
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E ala i le fa'aogaina o tapulaa fa'atatau ma le fa'atapula'a, o le tele o osofa'iga o le fa'aaogaina o puna'oa e mafai ona fa'afefeteina, e ui lava e mafai ona a'afia ai felauaiga fa'aletulafono i le le lelei o puipuiga. E tatau ona seti tapula'a fa'apitoa ile:
· Fa'asoa manatu
· Fa'agasologa
· Ao tulaga
· Tuuina atu file fa'amatala ma file tele
· Ua toe faafoi mai faamaumauga
· Numera o fefa'atauaiga totogi i 'au'aunaga isi vaega
· Fa'ailoga uma e o'o mai (fa'ata'ita'iga, umi manoa, umi o laina, ma isi)
· Numera o feso'ota'iga API i le tagata o tausia i totonu o se fa'amalama taimi fa'apitoa
Fa'amama i le pito o le feso'ota'iga e fa'aoga ai feso'ota'iga tu'uina atu mea (CDNs) fa'atasi ma web e mafai ona fa'aitiitia lologa o feoaiga a'o fa'aitiitia le a'afiaga i tagata ta'ito'atasi. O fa'asalalauga tu'uina atu e fa'ataga ai le fa'amama faigofie, e aofia ai tapula'a i le manatua, PPU, ma faiga.
15 Ioakimik, Omera. Cloudflare DDoS lipoti taufaamatau mo le 2022 Q4. Cloudflare Blog. Web Itulau. 10 Ian 2023.
16 Faʻafefea ona taofi hack/DOS osofaʻiga i web API. StackOverflow. Web Itulau. 15 Setema 2015.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

12/23

OpenText Dynamic Application Security Testing e mafai ona su'e 'au'aunaga ma galuega API mo le fa'aletonu i osofa'iga fa'afitia e aunoa ma le a'afiaina o le tautua. E le gata i lea, o le gaioiga tonu lava o le faia o le DAST scan e mafai ona faʻamalosia le suʻega o se siosiomaga e faʻaalia ai vaivaiga faʻaogaina punaoa.

E mafai faapefea ona fesoasoani OpenText?
Faatasi ai ma le OpenText SAST ma le OpenText Dynamic Application Security Testing, e mafai e 'au a DevSecOps ona su'e a latou tulafono ma atina'e mo le maufetuuna'i i osofa'iga vaivai. OpenText SAST e mafai ona vaʻaia le tele o vaega e mafai ai e se tagata osofaʻi ona faʻaaoga sese le faʻaogaina o le talosaga e faʻatupu ai le tele o punaoa.
E le lava le puipuiga o le code-level e foia ai lenei faafitauli i le talosaga. O le vaivai o puna'oa ma le fa'atapula'aina o le tau o ni vaega fa'apitoa ia o osofa'iga fa'afitia-au'aunaga e tatau ona fa'aitiitia i le taimi e ta'avale ai. OpenText Dynamic Application Security Testing e mafai ona fa'ata'ita'i ai 'au'aunaga ma galuega a le API mo le fa'aletonu i osofa'iga fa'afitia e aunoa ma le a'afiaina o le tautua. E le gata i lea, o le gaioiga tonu lava o le faia o le DAST scan e mafai ona faʻamalosia le suʻega o se siosiomaga e faʻaalia ai vaivaiga faʻaogaina punaoa.
API5:2023–Faatagaga Tulaga Gaoioiga malepe
O le a lena?
O le talosaga faʻaonaponei e tele galuega eseese e maua ai, fatuina, faʻaogaina, tape, ma pulea faʻamaumauga. E le mana'omia e tagata uma e fa'aoga talosaga le avanoa i galuega uma po'o fa'amaumauga uma, e le tatau fo'i ona fa'atagaina i lalo o le fa'avae o le fa'atauva'a itiiti. So'o se fa'ai'uga API o lo'o i ai se fa'aaliga fa'amoemoe e mafai ona aofia ai tagata e le ta'ua, masani e le fa'apitoa, ma fa'apitoa tagata fa'aoga. O galuega tau pulega ma pulega e tatau ona mana'omia se faatagaga fa'apitoa, ae o nisi taimi e mafai ona maua e ala ile API fa'aletulafono telefoni mai tagata e le fa'atagaina-le afuaga o Fa'atagaga Fa'atonuga Fa'atonu. Ona o le eseese o fa'atonuga, vaega, ma matafaioi e fa'atupu ai le lavelave i le fa'atonutonuina o avanoa, o galuega fa'atino atonu e leai ni fa'atapula'a talafeagai po'o ai e mafai ona vala'au i latou.
O le a le mea e fa'aletonu ai se talosaga?
O talosaga e fa'ataga ai galuega fa'apitoa e fa'atino galuega fa'apulega e ono le fa'atapulaaina le avanoa i na galuega i se auala saogalemu. APIs e fa'afanua sa'o i ia galuega o le a fa'aalia na vaivaiga i le fa'aogaina. O galuega e le fa'aogaina ai le fa'amaoniga ma le fa'atagaga a le talosaga e tatau ona manatu o ni vaivaiga fa'aletonu.
I se exampLe taʻua e le OWASP, e maua e le tagata osofaʻi le avanoa i talosaga API mo le faʻaopoopoina o se tagata valaʻaulia i se talosaga feaveaʻi fou, ma matauina o le valaaulia e aofia ai faʻamatalaga i le matafaioi a le tagata valaʻaulia. O le faʻaaogaina o vaivaiga, e auina atu e le tagata osofaʻi se valaaulia fou:
POST /api/invites/new
{
“imeli”: “attacker@somehost.com”,
“matafaioi”: “pule”
} Ole mea lea e mafai ai ona latou maua avanoa fa'apulega ile faiga.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

13/23

E tatau i 'au a DevSecOps ona mamanuina se faiga masani i le faʻatagaina ma le faʻamaonia e taofia ai le avanoa i talosaga e ala i le le mafai, faʻamalosia le le mafai o le "faafitia uma."
O le fa'atonuina o le fa'aoga ma le fa'aogaina o le fa'atonuga o le fatu lea o so'o se pisinisi i luga ole laiga, ma a'o fa'agasolo e kamupani le tele o a latou galuega i le ao, e mafai ona fa'aalia ma fa'aogaina na tafega. O le tele o avanoa e ono afaina ai le pisinisi.

osofaiga examples
I le 2022, na faailoa atu ai e le Texas Department of Insurance i tagata lautele e faapea o faamatalaga e tusa ma le lua miliona Texans na faailoa atu e ala i se vaega o le talosaga mo taui a le aufaigaluega lea na faatagaina ai ma le le iloa e tagata lautele e maua faamatalaga puipuia.17 I le mea lona lua na tupu i le 2022, na faailoa mai ai e le kamupani telefoni a Ausetalia Optus e faapea o le tagata lava ia ma faamatalaga tau tupe e leʻi manaʻomia e Ausetalia se 10 miliona, e leʻi manaʻomia e Ausetalia se 18 miliona faʻamatalaga na faʻaalia e Ausetalia. fa'amaoni po'o le fa'atagaina. E ui na taʻua e Optus le osofaʻiga o le "faigata," o se tagata suʻesuʻe o le puipuiga e masani i auiliiliga o le osofaʻiga na faʻamatalaina e "le taua."XNUMX
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E tatau i 'au a DevSecOps ona mamanuina se faiga masani i le faʻamaonia ma le faʻatagaina e taofia ai le avanoa i talosaga e ala i le le mafai, faʻamalosia le le mafai ona "faafitia uma." Mai lenei faaletonu, fa'aaoga i taimi uma le mataupu faavae o le fa'atauva'a itiiti pe a fuafua avanoa mo matafaioi/vaega/tagata fa'aoga. E tatau i tagata atiaʻe ona faʻamautinoa o loʻo iai le faʻamaoniga ma le faʻatagaina mo veape HTTP talafeagai uma (faʻataʻitaʻiga, POST, GET, PUT, PATCH, DELETE) e fesoʻotaʻi ma API taʻitasi. O veape le talafeagai e tatau ona le faatagaina. E le gata i lea, e tatau i tagata atiaʻe ona faʻatinoina se vasega faʻavae mo le faʻaogaina o le pulega ma le pulega, e faʻaaoga ai le tofi vasega e faʻamautinoa ai e siaki e pulega faʻatagaina le matafaioi a le tagata faʻaoga aʻo leʻi tuʻuina atu avanoa. E tatau ona fa'aogaina galuega fa'ale-pulega uma e fa'ataga ai le fa'atupuina o avanoa.
E mafai faapefea ona fesoasoani OpenText?
E ala i le tuʻufaʻatasia o le code static ma API suʻesuʻega vaega o le OpenTextTM Static Application Security Testing ma siaki taimi ole OpenText Dynamic Application Security Testing (DAST) suite, e mafai e le au DevSecOps ona iloilo a latou talosaga mo mataupu faʻatagaina tulaga-tulaga gau ma faʻaauau le suʻeina o le gaosiga o faʻafitauli vaivai aʻo leʻi faʻapipiʻiina. Ina ia iloa mataupu Broken Object Function Authorization, OpenTextTM Static Application Security Testing e faʻaogaina ai tulafono e faʻamaonia ai le taimi e faʻamoemoeina ai se siaki faʻatagaina i nisi gagana polokalame ma auivi, ma le leai o se siaki faapena e lipotia.
API6:2023–E Le Fa'atapulaaina Avanoa i Tafe ma'ale'ale Pisinisi
O le a lena?
Mai sneakerbots i bots tiketi, osofaʻiga i luga o suʻesuʻega a faleoloa i luga ole laiga e ala ia latou API ua avea ma faʻafitauli tele mo nofoaga e-pisinisi. E ala i le malamalama i le faʻataʻitaʻiga pisinisi ma le faʻaogaina o talosaga, e mafai e se tagata osofaʻi ona fatuina se faasologa o telefoni API e mafai ona faʻapolopolo pe faʻatau.
17 Beeferman, Iasona. O faʻamatalaga patino o le 1.8 miliona Texans ma le Matagaluega o Inisiua tagi na faʻaalia mo le tele o tausaga, fai mai suʻega. Le Texas Tribune. 17 Me 2022.
18 Teila, Iosu. Optus faʻamaumauga soliga: mea uma tatou te iloa e uiga i le mea na tupu. Le Leoleo. 28 Setema 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

14/23

Puipuia le Fa'atapula'aina Avanoa i Feso'ota'iga Pisinisi Ma'ale'ale e fa'atatau i se faiga fa'apitoa i le saogalemu o fa'aoga ae fa'aitiitia e uiga i le sailia o se tekonolosi fa'apitoa.

inventory, ma taofia ai isi tagata fa'atau sa'o mai le mauaina o le avanoa i oloa po'o tautua a le pisinisi. Soʻo se API e faʻatagaina avanoa i se pisinisi faʻagasologa e mafai ona faʻaaogaina e se tagata osofaʻi e aʻafia ai le pisinisi ma pa'ū i lalo o le faʻamatalaga o le Le Faʻatapulaaina Avanoa i Faʻasalalauga Pisinisi Maʻaleʻale.
O le a le mea e fa'aletonu ai se talosaga?
O le fa'atonuina o le fa'aoga ma le fa'aogaina o le fa'atonuga o le fatu lea o so'o se pisinisi i luga ole laiga, ma a'o fa'agasolo e kamupani le tele o a latou galuega i le ao, e mafai ona fa'aalia ma fa'aogaina na tafega. O lenei avanoa tele e ono afaina ai le pisinisi, pe a otometi e le au osofaʻi le faʻatauina o oloa, fatuina bots mo le tuʻuina o faʻamatalaga ma toeviews, pe otometi le fa'asaoina o oloa po'o auaunaga.
Afai o se talosaga e ofoina atu se pito e mafai ai ona maua le avanoa i le pisinisi a le kamupani e aunoa ma le faatapulaaina o le avanoa i galuega faapisinisi i tua atu o le pito, o le talosaga o le a vaivai. O puipuiga e aofia ai le faʻatapulaʻaina o le numera o taumafaiga avanoa mai se masini e tasi e ala i tamatamai lima, iloa pe o le gaioiga e afua mai i se tagata, ma le suʻesuʻeina pe o aʻafia ai le masini.
osofaiga examples
Ina ua fa'atau atu tiketi a Taylor Swift i luga o le Ticketmaster ia Novema 2022, 1.5 miliona tagata fa'atau na mua'i resitalaina, ae sili atu i le 14 miliona talosaga-e aofia ai le faatoluina o le tele o fefa'ataua'iga bot-swamped the purchasing links and APIs as soon as ticket sales opened. The site crashed, preventing many customers from purchasing tickets.19
O le osofaʻiga a le au faʻatau oloa e pei o latou na faʻaleagaina le faʻalauiloaina o le PlayStation 5 ia Novema 2020. O faʻafitauli sapalai-sapalai ua uma ona faʻatapulaʻaina sapalai aʻo leʻi faʻalauiloaina le faʻataʻitaʻiga o le Sony gaming console, ae o bots otometi na sili atu ona faigata le sailia o iunite avanoa ma taʻitaʻia ai tau toe faʻatau atu. I se tasi tulaga o le e-commerce site, o le numera o fefaʻatauaiga "faʻaopoopo i le taavale" na faʻatupulaʻia mai le averesi o le 15,000 talosaga i le itula i le sili atu i le 27 miliona, faʻaaogaina le API a le faleoloa e talosagaina saʻo oloa mai le numera SKU.20
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E tatau i tagata atiaʻe ona galulue faʻatasi ma pisinisi-faagaioiga ma 'au faʻainisinia e foʻia ai faʻafitauli e ono mafai ona maua le leaga i pisinisi-fesoasoani. E mafai e 'au fa'apisinisi ona iloa po'o fea o tafega o lo'o fa'aalia e ala i API ma fa'atautaia su'esu'ega tau fa'amata'u e iloa ai pe fa'afefea ona fa'aleagaina e tagata osofa'i na pito. I le taimi nei, e tatau i le au atiaʻe ona galulue faʻatasi ma galuega faʻainisinia e avea o se vaega o le DevOps team e faʻatuina ni faʻaopoopoga faʻatekinisi puipuiga, e pei o le faʻaogaina o tamatamailima masini e puipuia ai faʻamatalaga masini masini mai le lofituina ma faʻamaonia mamanu i amioga e vaʻaia ai le va o tagata ma masini.
19 Steele, Pili. Ua iloa e Ticketmaster o loʻo i ai se faʻafitauli o le bot, ae e manaʻo i le Konekeresi e faʻaleleia. Engadget. Tala Fou. 24 Ian 2023.
20 Muwandi, Tafara ma Warburton, Tavita. Fa'afefea ona fa'aleagaina e Bots le PlayStation 5 fa'alauiloa mo le faitau miliona o ta'aloga. F5 Labs Blog. F5. Web Itulau. 18 Mati 2023.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

15/23

O le ex sili ona lauiloaampLe o se osofaiga a le SSRF na aafia ai se Amazon muamua Web Au'aunaga (AWS) inisinia na fa'aogaina se fa'aoga sese web application firewall (WAF) ona fa'aoga lea o se faaletonu SSRF e aoina mai ai fa'amaumauga mai se fa'ata'ita'iga a le 'au'aunaga a le kamupani tupe tele Capital One.

E tatau fo'i ona toe fa'afo'i le vaega fa'atinoview soʻo se API ua fuafuaina e faʻaogaina e isi masini, e pei o mataupu faʻaoga B2B, ma faʻamautinoa o loʻo iai ni puipuiga e puipuia ai tagata osofaʻi mai le faʻaogaina o fesoʻotaʻiga masini-ma-masini.
E mafai faapefea ona fesoasoani OpenText?
O le pu'eina o pisinisi maaleale ma maaleale e masani ona fa'alagolago i le faia o mea taua. E mana'omia e Kamupani ona fa'amaumauina ma siaki uma a latou API o lo'o fa'agaoioia ma fuafua po'o fea e fa'aalia ai faiga ma'ale'ale ma fa'amaumauga i tagata osofa'i. E manaʻomia foʻi ona suʻesuʻeina le faʻaogaina o le faʻaogaina o mea sese e mafai ona faʻaaogaina e tagata osofaʻi.
I le aotelega, o le puipuia o le le fa'atapula'aina o avanoa i pisinisi ma'ale'ale e sili atu e uiga i se fa'ata'ita'iga atoa i le saogalemu o fa'aoga ma fa'aitiitia e uiga i le sailia o se tekonolosi fa'apitoa.
API7:2023–Talosaga Faagatama a le Itu Tulaga
O le a lena?
O 'au'aunaga pito i tua e fa'atautaia talosaga e ala i fa'ai'uga API. Server-Side Request Forgery (SSRF) o se faʻafitauli e mafai ai e le tagata osofaʻi ona faʻaosoosoina se server e auina atu talosaga mo i latou ma faʻatasi ai ma le tulaga o le avanoa o le server. E masani ona faʻaaogaina e le osofaʻiga le 'auʻaunaga e faʻafesoʻotaʻi le va i le va o le osofaʻiga i fafo ma le fesoʻotaʻiga i totonu. O osofaʻiga a le SSRF faʻavae e mafua ai le tali atu i le tagata osofaʻi, o se faʻataʻitaʻiga sili atu ona faigofie nai lo osofaʻiga a le SSRF Tauaso, lea e leai se tali e toe foʻi mai, ma tuʻu ai le tagata osofaʻi e aunoa ma se faʻamaoniga pe na manuia le osofaʻiga.
O le a le mea e fa'aletonu ai se talosaga?
O faaletonu ole Server-Side Request Forgery (SSRF) e mafua ona o le leai o se faamaoniga o mea e tuuina atu e tagata e faaaogāina. E mafai e tagata osofaʻi ona faʻatautaia talosaga ma aofia ai se URI e tuʻuina atu avanoa i le talosaga faʻatatau.
O manatu fa'aonaponei i le atina'eina o talosaga, pei o webmatau ma faʻatulagaina faʻatulagaga faʻaoga, faia SSRF sili atu ona taatele ma sili atu ona mataʻutia, e tusa ai ma le OWASP.
I se exampLe taʻua e le OWASP, o se fesoʻotaʻiga lautele e mafai ai e tagata faʻaoga ona tuʻuina atu le profile ata e mafai ona afaina i le SSRF, pe a le faʻamaonia e le 'auʻaunaga finauga na lafoina i le talosaga. Nai lo le a URL faasino i se ata, e pei o:
POST /api/profile/upload _ ata
{
“ata _ url”: “http://example.com/profile _ pic.jpg”
}
E mafai e se tagata osofaʻi ona tuʻuina atu se URI e mafai ona iloa ai pe tatala se taulaga faʻapitoa e faʻaaoga ai le API telefoni:
{ “ata _ url”: “localhost:8080”
}

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

16/23

Saogalemu Misconfiguration e aofia ai le setiina o talosaga ma faʻaogaina faʻaletonu faʻaletonu, faʻatagaina le faʻatagaina o avanoa i galuega maʻaleʻale ma faʻamaumauga, ma faʻaalia lautele faʻamatalaga talosaga e ala i faʻamatalaga faʻamatalaga sese.

E oo lava i se mataupu SSRF Tauaso, e mafai e le tagata osofaia ona iloa pe o tatala le taulaga e ala i le fuaina o le taimi e maua ai se tali.
osofaiga examples
O le ex sili ona lauiloaampLe o se osofaiga a le SSRF na aafia ai se Amazon muamua Web Au'aunaga (AWS) inisinia na fa'aogaina se fa'aoga sese web application firewall (WAF) ona fa'aoga lea o se faaletonu SSRF e aoina mai ai fa'amaumauga mai se fa'ata'ita'iga a le 'au'aunaga a le kamupani tupe tele Capital One. O le mea na tupu, lea na tupu ia Iulai 2019, na mafua ai ona gaoia faamatalaga mai le tusa ma le 100 miliona tagatanuu o Amerika ma le ono miliona o tagatanuu Kanata.21 Ua manatu Amazon o le faaletonu o le fetuunaiga o le mafuaaga lea o le maliega, nai lo le sese SSRF.22
I le masina o Oketopa 2022, na logoina ai e le kamupani o le puipuiga o le ao ia Microsoft ni fa'aletonu e fa SSRF i le fa'ailoga a le kamupani o le Azure cloud platform. O fa'aletonu ta'itasi na a'afia ai se 'au'aunaga Azure ese'ese, e aofia ai le 'au'aunaga Azure Machine Learning ma le Azure API Management service.23
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E tatau i tagata atiaʻe ona faʻapipiʻi auala e maua mai ai punaoa i totonu o la latou code, faʻamavaeina le ata ma faʻapipiʻi puipuiga faʻaopoopo e faʻamaonia ai soʻo se talosaga. Talu ai o ia foliga e masani ona faʻaaogaina e aumai ai punaoa mamao ae le o totonu, e tatau i le au atinaʻe ona faʻapipiʻi foliga faʻapipiʻi e faʻaoga ai se lisi o punaoa mamao faʻatagaina ma poloka taumafaiga e maua ai punaoa i totonu. E tatau ona fa'agata le fa'aliliuina o le HTTP mo galuega su'esu'e ma so'o se talosaga e fa'asalalauina mo fa'ailoga leaga.
Ole a'afiaga ole vaivai ole SSRF e le mafai ona fa'aumatia atoa, o lea e tatau ai i kamupani ona va'ava'ai toto'a ile fa'aogaina ole telefoni ile punaoa i fafo.
E mafai faapefea ona fesoasoani OpenText?
OpenText Dynamic Application Security Testing e mafai ai e 'au a DevSecOps ona fa'ata'ita'i e le aunoa mo le Fa'atauga o Talosaga Itu Tulaga. OpenTextTM Dynamic Application Security Testing e suʻesuʻe se sapalai talosaga i se siosiomaga faʻatulagaina ina ia mafai ona faʻataʻitaʻiina vaega uma-faʻaoga, server, ma fesoʻotaʻiga-e mafai ona faʻataʻitaʻiina, tuʻuina atu i le faʻavae suʻesuʻega faʻamalosi se faʻamalamalamaga. view o le a'afiaga o talosaga a le server.
OpenText SAST e mafai ona iloa le tele o mataupu o le SSRF e ala i suʻesuʻega pisia-mo faʻataʻitaʻigaample, pe a fa'aogaina e le talosaga le fa'aogaina o tagata e le fa'amaonia e fausia ai se URL ona aumai lea. O le meafaigaluega o le a fu'a ai le fa'aogaina o le fa'aogaina o tagata e le fa'atapulaaina.

21 Fa'amatalaga i le Capital One cyber incident. Capitol Tasi Fautuaga. Web Itulau. Fa'afou aso 22 Aperila 2022.
22 Ng, Alfred. Na taʻu atu e Amazon i senatoa e le tuuaia mo le solia o le Capital One. CNET Tala Fou. com. Talafou tala. 21 Novema 2019.
23 Shitrit, Lidor Ben. Na Fa'afefea ona Maua e Orca Fa'amatalaga Fa'atauga a le Server-Side Request forgery (SSRF) i Au'aunaga Azure Eseese e Fa. Orca Security Blog. Web Itulau. 17 Ian 2023.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

17/23

Security-as-code e mafai ona fesoasoani, e ala i le faia o fetuutuunaiga e toe fai ma tuʻuina atu i 'au faʻaoga-saogalemu le mafai ona seti seti faʻatulagaina masani mo vaega faʻapitoa o talosaga.

API8:2023–Saogalemu Sesconfiguration
O le a lena?
E masani ona faʻaseseina e le au atinaʻe a latou talosaga, ua le mafai ona tuʻueseeseina aseta tau atinaʻe mai aseta gaosiga, faʻatau atu maʻaleʻale files–faapea faatulagaga files–i a latou faleteuoloa lautele, ma le le mafai ona suia faʻasologa faʻaletonu. Saogalemu Misconfiguration e aofia ai le setiina o talosaga ma faʻaogaina faʻaletonu faʻaletonu, faʻatagaina le faʻatagaina o avanoa i galuega maʻaleʻale ma faʻamaumauga, ma faʻaalia lautele faʻamatalaga talosaga e ala i faʻamatalaga faʻamatalaga sese.
O le a le mea e fa'aletonu ai se talosaga?
O fa'atonuga fa'aletonu e masani ona fa'ataga, leai se fa'ama'a'a malu, ma tu'u avanoa e teu ai ao avanoa mo tagata lautele. E masani lava, o le web auivi o lo'o fa'avae ai tusi talosaga e aofia ai le tele o vaega o talosaga e le'o mana'omia ma o lo'o aofia ai e fa'aitiitia ai le saogalemu.
I se example auiliiliga e le OWASP, o se fesoʻotaʻiga faʻaagafesootai e ofoina atu se faʻamatalaga saʻo e tatau ona puipuia le le faalauaiteleina o tagata faʻaoga, ae ofoina atu se talosaga API e toe aumai se talanoaga faʻapitoa e faʻaaoga ai le ex lea.ample API talosaga:
GET /dm/user _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA
O le fa'ai'uga API e le fa'atapula'aina fa'amaumauga o lo'o teuina i totonu o le fa'aoga, e mafua ai i talanoaga fa'apitoa e natia e le web su'esu'e. E mafai e le au osofaʻi ona toe aumai faʻamatalaga mai le browser, faʻaalia savali patino a le tagata manua.
osofaiga examples
I le masina o Me 2021, na fa'ailoa mai ai e le kamupani o le puipuiga o le ao ia Microsoft e le itiiti ifo i le 47 tagata fa'atau eseese ua le mafai ona suia le fa'aogaina o latou tulaga o Microsoft Power Apps. O faʻalapotopotoga na aʻafia e aofia ai kamupani, e pei o le American Airlines ma Microsoft, ma le malo o le setete, e pei o Indiana ma Maryland, ma faʻaalia le 38 miliona faʻamaumauga e ono mafai ona fetuunai i luga o le Power Apps portals.24
I le 2022, na maua ai e se kamupani faʻafitauli faʻafitauli e 12,000 ao faʻapipiʻi i luga ole Amazon. Web Auaunaga ma 10,500 faʻafeiloaʻi i luga o Azure na faʻaauau pea ona faʻaalia Telnet, o se faʻasalalauga mamao mamao e manatu "e le talafeagai mo soʻo se faʻaogaina i luga ole initaneti i aso nei," e tusa ai ma se lipoti 2022 O le faʻaofiina o mea e le manaʻomia ma le le saogalemu e faʻaleagaina ai nei puipuiga o API ma talosaga.

24 Su'esu'ega Puipuia. E ala i le Fuafuaga: Fa'afefea ona fa'aalia le faitau miliona o Fa'atagaga Fa'aleaogaina ile Microsoft Power Apps. Upgard Research Blog. Web Itulau. 23 Aokuso 2021.
25 Beardsley, Todd. 2022 Lipoti Fa'aletonu o le Ao. Vave7. Lipoti PDF. i. 12. 20 Aperila 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

18/23

O se fa'ailoga mata o fa'amaumauga o le taimi lea e le manino ai fa'amatalaga o le fa'amoemoega o le API, fa'atinoga, ma le fa'aliliuina ona o le leai o ni fa'amaumauga e fa'amatala auiliili ai nei uiga taua.

E fa'afefea ona puipuia aa fa'atupu?
E manaʻomia e 'au a DevSecOps ona malamalama i laasaga e manaʻomia e fatuina ai faʻamautu faʻamautu mo a latou talosaga ma faʻaoga se paipa atinaʻe otometi e siaki ai le faʻatulagaga files a'o le'i fa'apipi'iina, e aofia ai su'esu'ega masani o iunite ma siaki taimi fa'agasolo e siaki ai pea le polokalama mo fa'aletonu fa'atulagaina po'o fa'afitauli saogalemu. Security-as-code e mafai ona fesoasoani, e ala i le faia o fetuutuunaiga e toe fai ma tuʻuina atu i 'au faʻaoga-saogalemu le mafai ona seti seti faʻatulagaina masani mo vaega faʻapitoa o talosaga.
I le avea ai o se vaega o la latou atinaʻe saogalemu, o tagata atiaʻe ma vaega faʻagaioiga e tatau ona:
· Faʻavae se faiga faʻamaʻaʻaina e faʻafaigofie ai le toe faia ma le tausia o se siosiomaga faʻaoga saogalemu,
· Toeview ma fa'afou uma fa'atonuga i luga o le fa'aputuga API e fa'aofi ai le tulaga fou i taimi uma, ma
· Fa'autometi le su'esu'ega o le aoga o fa'atulagaga fa'atulagaina i totonu o si'osi'omaga uma.
E mafai faapefea ona fesoasoani OpenText?
OpenText Static Application Security Testing e mafai ona siaki fetuutuunaiga i le faagasologa o le atinaʻe ma iloa ai le tele o ituaiga vaivaiga. Ona o Faiga Fa'aletonu o le Saogalemu e tupu i le tulaga o le talosaga-code level ma i le tulaga o mea tetele, e mafai ona fa'aogaina oloa eseese OpenText e pu'e ai fa'aletonu.
OpenText Static Application Security Suʻega suʻega e mafai ona siaki le numera o talosaga mo faʻafitauli sese. I le taimi ole su'esu'ega fa'ata'ita'iga, OpenText SAST e mafai ona iloilo le fa'atulagaina filemo mea sese mo le saogalemu, e aofia ai mo Docker, Kubernetes, Ansible, Amazon Web Au'aunaga, CloudFormation, Terraform, ma Azure Resource Manager templates.
E mafai fo'i ona maua mea sese o le fa'atulagaina i le taimi o le ta'avale. OpenText Dynamic Application Security Testing e mafai ai e 'au a DevSecOps ona fa'ata'ita'i masani mo fa'aletonu masani o le saogalemu. O se tasi o malosiaga sili o le suʻesuʻeina o le DAST o loʻo tamoʻe i luga o le 'auʻaunaga talosaga i se siosiomaga faʻatulagaina, o lona uiga o le siʻosiʻomaga atoa - talosaga, server, ma fesoʻotaʻiga - o loʻo faʻataʻitaʻiina uma i le taimi e tasi, e tuʻuina atu ai le faʻatulagaina o suʻesuʻega faʻamalosi se faʻamalamalamaga. view o le siosiomaga gaosiga ua configured.
API9:2023–Le lelei Puleaina o Fa'amaumauga
O le a lena?
Like most software assets, APIs have a lifecycle, with older versions replaced by more secure and efficient APIs or, increasingly, using API connected to third-party services. DevSecOps teams who do not maintain their API versions and documentation can introduce vulnerabilities when older, flawed API versions continue to be used–a weakness known as Improper Inventory Management. Best practices for inventory management require the tracking of

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

19/23

API versions, le iloiloga masani ma le su'esu'eina o au'aunaga tu'ufa'atasia, ma le fa'agata masani o fa'asologa o talatuu e taofia ai le fa'asalalauina o fa'afitauli fa'aletonu.
O le a le mea e fa'aletonu ai se talosaga?
Fa'ata'ita'iga fa'akomepiuta fa'alagolago i API-aemaise lava i latou o lo'o fa'aogaina fa'ata'ita'iga microservice-e masani ona fa'aalia le tele o fa'ai'uga nai lo tu ma aga. web talosaga. Ole tele ole fa'ai'uga o le API, fa'atasi ai ma le tele o fa'asologa o se API o lo'o iai i taimi e tasi, e mana'omia ai fa'aopoopoga o punaoa fa'afoe mai le API e fa'apipi'i e puipuia ai le fa'alauteleina o le osofa'iga. Ua faailoa mai e le OWASP ni pupuni tetele se lua e ono maua e 'au a DevSecOps e uiga ia latou atina'e API.
Muamua, o se fa'amaufa'ailoga mata o le taimi lea e le o manino ai fa'amatalaga o le fa'amoemoega o le API, fa'agaioiga, ma fa'aliliuga ona o le leai o ni fa'amaumauga e fa'amatala auiliili ai nei uiga taua.
Lona lua, o se faʻamatalaga-fesoʻotaʻiga mata e tupu pe a faʻaaogaina API i auala e leai se manino, e mafua ai le gafatia e le tatau ona faʻatagaina e aunoa ma se faʻamaonia pisinisi malosi. Fa'asoa fa'amatalaga ma'ale'ale i se isi vaega e aunoa ma ni fa'amautinoaga saogalemu, leai se va'aia o le fa'ai'uga o le tafega o fa'amatalaga, ma le le mafai ona fa'afanua uma fa'amaumauga o lo'o tafe mai i totonu o API fa'amauina o mea mata uma ia.
I le avea ai ma se example, o le lipoti a le OWASP o loʻo taʻua ai se fesoʻotaʻiga faʻaagafesootai talafatu e mafai ai ona tuʻufaʻatasia ma talosaga tutoʻatasi lona tolu. E ui e manaʻomia le faʻatagaga mai le tagata faʻaaoga mulimuli, o le fesoʻotaʻiga faʻaagafesootai e le lava le vaʻaia i le tafe o faʻamatalaga e puipuia ai vaega i lalo mai le mauaina o faʻamatalaga, e pei o le mataʻituina o le gaioiga e le gata i le tagata faʻaoga, ae o a latou uo.
osofaiga examples
I le 2013 ma le 2014, e tusa ma le 300,000 tagata na suʻe se suʻega faʻapitoa i luga o le initaneti i luga o le Facebook platform. O le kamupani i tua o le suega, Cambridge Analytica, e le gata na aoina faʻamatalaga i na tagata faʻaoga, ae o a latou uo soʻotaga foi-o se faitau aofaʻi e tusa ma le 87 miliona tagata, o le toʻatele o i latou e leʻi tuʻuina atu se faʻatagaga e aoina a latou faʻamatalaga. Ona faʻaaogaina lea e le kamupani le faʻamatalaga e faʻafetaui ai faʻasalalauga ma feʻau i na tagata e fai ma sui o latou tagata faʻatau, e aofia ai le lafoina o faʻasalalauga faʻapolokiki e lagolagoina le Trump campAign i le palota 2016 O le leai o se va'aiga a Facebook i le fa'aogaina e isi vaega o fa'amatalaga na maua mai i lona fa'avae o se fa'aaliga.ample o le le sa'o o le Puleaina o Inventory.
E fa'afefea ona puipuia i le avea ai o se tagata e fa'atupuina?
E tatau i 'au a DevSecOps ona fa'amaumau uma 'au API ma taula'i i le fa'atumauina o le va'aia i fa'amaumauga o lo'o tafe i le va o API ma isi vaega. O le auala muamua e puipuia ai le Faʻatonuina o Faʻamaumauga Faʻamaumauga o faʻamaumauga auiliili o itu taua o auaunaga uma ma 'au API, e aofia ai faʻamatalaga i luga o faʻamatalaga latou te taulimaina, o loʻo maua avanoa i 'au ma faʻamaumauga,
26 Rosenberg, Mataio ma Siva, Kaperielu. `O Oe O Le Oloa': Fa'atatau e Cambridge Analytica i luga ole Facebook. Le New York Times. Talafou tala. 8 Aperila 2018.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

20/23

E mafai e faʻalapotopotoga ona pulea, mataʻituina, malupuipuia, ma faʻamaumau a latou API faʻaoga e faʻaaoga ai le OpenText Secure API Manager e OpenText, lea e mafai ai e 'au faʻaoga saogalemu ona tausia se faʻamaumauga lata mai o aseta API.

ma fa'amatalaga fa'apitoa API o 'au ta'itasi. O fa'amatalaga fa'apitoa e tatau ona fa'amauina e aofia ai le fa'atinoina o le fa'amaoni, fa'afoeina o mea sese, puipuiga fa'atapula'aina o fua, faiga fa'avae fa'asoa fa'asoa (CORS), ma fa'amatalaga o pito ta'itasi.
Ole tele ole tele o fa'amaumauga e faigata ona fa'atautaia ma le lima, o lea e fautuaina ai le fa'atupuina o fa'amaumauga e ala i le fa'aauauina o le tu'ufa'atasiga ma le fa'aogaina o tulaga tatala. E tatau fo'i ona fa'atapula'aina le avanoa i fa'amaumauga API i na tagata atia'e ua fa'atagaina e fa'aoga le API.
I le taimi o le fausiaina o talosaga ma faʻataʻitaʻiga vaega, e tatau i tagata atiaʻe ona aloese mai le faʻaogaina o faʻamatalaga o gaosiga i luga ole atinaʻe poʻo staged versions o le talosaga e puipuia ai faʻamatalaga liki. Pe a faʻasalalau faʻamatalaga fou o APIs, e tatau i le DevSecOps team ona faia se suʻesuʻega faʻalavelave e fuafua ai le auala sili e faʻaleleia ai talosaga e ave faʻasalalauga.tagu o le faateleina o le saogalemu.
E mafai faapefea ona fesoasoani OpenText?
E mafai e faʻalapotopotoga ona pulea, mataʻituina, malupuipuia, ma faʻamaumau a latou API faʻaoga e faʻaaoga ai le OpenTextTM Secure API Manager, lea e mafai ai e 'au faʻaoga-saogalemu ona tausia se suʻesuʻega lata mai o aseta API. O le OpenText Secure API Manager e tuʻuina atu se fale faʻatagaina e mafai ai e lau 'au DevSecOps ona teu ma faʻatautaia API uma o loʻo faʻaogaina e le faʻalapotopotoga, e mafai ai ona faigofie ona pulea le taamilosaga o le olaga mai le atinaʻeina o le API i le litaea. O le polokalame e fesoasoani e faʻaleleia atili le tausisia o tulafono faatonutonu ma laisene e ala i le faʻatagaina o auiliiliga auʻiliʻili.
API10:2023–Fa'aaogaina le saogalemu o API
O le a lena?
With the increasing use of native cloud infrastructure to create applications, APIs have become the point of integration between application components. However, the security posture of third-party services accessed through APIs is rarely clear, allowing attackers to determine on which services an application relies and whether any of those services have security weaknesses. Developers tend to trust the endpoints that their application interacts without verifying the external or third-party APIs. This Unsafe Consumption of APIs often leads to the application’s reliance on services that have weaker security requirements or lack fundamental security hardening, such as input validation.
O le a le mea e fa'aletonu ai se talosaga?
E masani ona faʻalagolago e le au atinaʻe faʻamatalaga na maua mai API isi vaega e sili atu nai lo le faʻaogaina o tagata, e ui lava o punaoa e lua e tutusa lelei mo se osofaʻiga faʻaosofia. Ona o lenei fa'atuatuaga sese, ua fa'amutaina e le au atina'e le fa'alagolago i tulaga vaivai o le saogalemu ona o le leai o se fa'amaoniga fa'aoga ma le fa'amamaina.
Le Fa'aaogaina le Saogalemu o API e ono tupu pe a fai o le talosaga:
· Faʻaaogaina pe faʻaaogaina isi API e faʻaoga ai fesoʻotaʻiga e le faʻamaonia,
· Le mafai ona faʻamaonia ma faʻamama faʻamatalaga mai isi API poʻo auaunaga,
· Fa'ataga le toe fa'afeiloa'i e aunoa ma se siakiga fa'aleaogaina, po'o

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

21/23

Afai e le fa'ailogaina e le atia'e ni siaki saogalemu i totonu o la latou talosaga e fa'amaonia ai so'o se fa'amatalaga e toe fa'afo'i mai e le API fa'ai'uga, o la latou talosaga o le a mulimuli i le toe tu'u atu ma lafo atu fa'amatalaga fa'afoma'i ma'ale'ale i le tagata osofa'i.
O le OWASP API Security Top-10 e taua tele mo le atina'e o le ao-native fausia APIs. Ae ui i lea, o le faʻatalanoaina o faʻafitauli masani e pei o le tui SQL, faʻamatalaga faʻamatalaga, ma le faʻaogaina o le saogalemu e tatau ona ave le faʻamuamua, aua e masani ona faʻaogaina e faʻamataʻu i luga ole laiga. O le API Security Top-10 o se vaega taua o le saogalemu o le atinaʻeina o polokalama ae e tatau ona lua i le faʻatalanoaina o faʻafitauli lautele o talosaga.

· Ua le mafai ona fa'atapula'aina le fa'aogaina o puna'oa e fa'aaoga ai fa'alava ma taimi fa'agata.
I se exampmai le lipoti a le OWASP, o se API e tu'ufa'atasia ma se isi vaega e tu'uina atu auaunaga e teu ai fa'amatalaga fa'afoma'i ma'ale'ale e mafai ona lafo atu fa'amatalaga patino e ala i se fa'ai'uga API. E mafai e tagata osofaʻi ona faʻafefeteina le au talimalo API lona tolu e tali atu i talosaga i le lumanaʻi ma le 308 Permanent Redirect: HTTP/1.1 308 Permanent Redirect
Nofoaga: https://attacker.com/
Afai e le fa'ailogaina e le atia'e ni siaki saogalemu i totonu o la latou talosaga e fa'amaonia ai so'o se fa'amatalaga e toe fa'afo'i mai e le API fa'ai'uga, o la latou talosaga o le a mulimuli i le toe tu'u atu ma lafo atu fa'amatalaga fa'afoma'i ma'ale'ale i le tagata osofa'i.
osofaiga examples
Ia Tesema 2021, o se seti o faʻafitauli i totonu o se vaega o loʻo faʻaaogaina e masani ona faʻaaogaina, Log4J, na faʻatagaina ai se tagata osofaʻi e tuʻuina atu mea e le faʻaogaina, e pei o se faʻamaufaʻailoga, ma faʻaoga faʻafitauli vaivai o Log4J e faʻatino ai le tusitusiga i luga o le server. O le mataupu i tua atu o le Log4J faʻaletonu na afua mai i le leai o se faʻamaoniga faʻamaonia, aemaise lava le le mafai ona faʻatautaia siaki saogalemu i luga o faʻamatalaga tuʻuina atu e tagata faʻaoga. E ala i le tuʻuina atu o faʻailoga leaga, e mafai e tagata osofaʻi ona faʻaogaina le faʻalavelave ma faʻataunuʻu se osofaʻiga i luga o se 'auʻaunaga ma le faʻafitauli. E tatau i tagata atia'e ona siaki mea uma e tu'uina mai e API isi vaega ma isi fa'apogai mai fafo.27
E fa'afefea ona puipuia aa fa'atupu?
E tatau i tagata atiaʻe ona faʻatautaia le faʻaeteete pe a suʻesuʻeina kamupani e tuʻuina atu auaunaga, suʻesuʻeina o latou tulaga saogalemu API ma le faʻatinoina o le puipuiga malu. E le gata i lea, e tatau i le au atinaʻe ona faʻamaonia o fesoʻotaʻiga uma i API isi vaega ma mai isi vaega i API a le faʻalapotopotoga e faʻaogaina se ala fesoʻotaʻiga malupuipuia e puipuia ai le faʻafefe ma toe taʻalo osofaʻiga.
Pe a maua faʻamatalaga mai tagata faʻaoga i fafo ma masini, e tatau ona faʻamama i taimi uma mea faʻaoga e puipuia ai le faʻatinoina o le code code. Ma le mea mulimuli, mo auaunaga ao faʻapipiʻiina e ala i API, faʻatagaina lisi e tatau ona faʻaoga e loka ai le tuatusi o le fofo tuʻufaʻatasia, nai lo le faʻatagaina tauaso soʻo se tuatusi IP e valaʻau le API ole talosaga.
E mafai faapefea ona fesoasoani OpenText?
E ala i le tuʻufaʻatasia o le code static ma le API auʻiliʻili vaega o le OpenText Static Application Security Testing ma siaki taimi ole OpenText Dynamic Application Security Testing (DAST) suite, e mafai e 'au a DevSecOps ona siaki le faʻaogaina e le latou talosaga o APIs isi vaega ma faʻataʻitaʻi ituaiga osofaʻiga masani. Ina ia maua API le saogalemu, OpenText Secure API Manager e mafai ona fausia se faleteuoloa o API uma e taʻua e le faiga faʻapea foʻi ma faʻaoga fafo e mafai ona faʻaogaina APIs o lau talosaga.
27 Microsoft Fa'amata'u Atamai. Ta'iala mo le puipuia, iloa, ma le tulituliloaina mo le fa'aogaina o le Log4j 2 vaivai. Microsoft. Web itulau. Fa'afouina: 10 Ianuari 2022.

Ta'iala mo le atina'e ile 2023 OWASP Top 10 mo le Puipuiga ole API

22/23

O fea e alu i ai
O oloa ia o lo'o ta'ua i lenei pepa: OpenText Application Security >
OpenText Static Application Security Testing >
OpenText Dynamic Application Security Testing >
OpenText Secure API Pule >
Punaoa fa'aopoopo OWASP Top 10 API Fa'aletonu Tulaga-2023 >
Gartner Magic Quadrant mo Su'ega Puipuiga o Talosaga >
OpenText Application Security Webinar Series >

E le lava le API Security Top-10!
Mo cloud-native developers e taulai faapitoa i le fatuina o API e ofoina atu auaunaga i isi vaega o se talosaga, tagata faʻaoga i totonu, poʻo mo le faʻaogaina o le lalolagi, o le OWASP API Security Top 10 lisi o se pepa taua e faitau ma malamalama ai.
Ae ui i lea, o le OWASP API Security Top 10 e le o se pepa faʻapitoa. E manaʻomia foʻi e le au atiaʻe ona faʻamautinoa latou te faʻaogaina isi punaoa o faiga sili ona lelei, e pei o le OWASP Top 10, e fetaui ma latou faʻaoga o loʻo iai nei ma le fausaga. Fa'aleaogaina masani fa'aoga -SQL tui, fa'amatalaga fa'amatalaga, ma le fa'aogaina sese o le puipuiga-fa'aauau pea ona avea ma auala masani e mafai ai e vaega taufa'amata'u i luga o le initaneti ona fa'afefeteina atina'e fa'apisinisi ma e tatau ona toe fa'aleleia vave. E le gata i lea, o nisi o talosaga fa'avae API, e pei o telefoni feavea'i, e mana'omia ni laasaga fa'ama'a'aga eseese o appsec nai lo le tu'utasi. web-app, ma ese mai mea e ono manaʻomia mo fesoʻotaʻiga ma masini IoT. Aotelega, o le API Security Top 10 lisi e taua, ae o loʻo tumau pea naʻo se vaega o le faʻaogaina o le atinaʻeina o polokalama faakomepiuta atoa. O le lisi, ma le OWASP Top 10 lisi, e tatau ona faʻaoga faʻatasi ma soʻo se isi tulaga talafeagai ma faiga sili e manaʻomia mo le fofo o loʻo i lalo o le auiliiliga.
Fa'ai'uga
As applications increasingly rely on cloud infrastructure, web application programming interfaces (APIs) have become the foundation of the Internet. Companies typically have hundreds, if not thousands, of API endpoints in their environment, dramatically increasing their attack surface and exposing applications to a variety of weaknesses.
O le tatalaina o le 2023 OWASP API Security Top 10 lisi o se amataga lelei mo kamupani ma atinaʻe e aʻoaʻoina i latou lava i tulaga lamatia o atinaʻe faʻavae API ma iloilo a latou lava talosaga. Faatasi ai ma le lisi sili ona lauiloa Application Security Top-10, o le paga o faʻavasegaga e mafai ona fesoasoani i 'au a DevSecOps agai i le atinaʻeina o se auala atoa i le saogalemu lautele oa latou talosaga.
DevSecOps teams e tatau ona nofouta i aafiaga saogalemu o API, auala e faʻaitiitia ai faʻafitauli o le faʻatinoga ma vaivaiga vaivai, ma faʻafefea ona faʻamaʻaʻaina a latou atinaʻe paipa ma le taunuuga o le API server e faʻafaigata ai mo tagata osofaʻi ona fetuunai se talosaga e ala i ana API.

Puletaofia © 2025 Open Text · 04.25 | 262-000177-001

Pepa / Punaoa

OpenText 262-000177-001 OWASP Top 10 Mo API Puipuiga [pdf] Tusi Taiala
262-000177-001, 262-000177-001 OWASP Top 10 Mo API Security, 262-000177-001, OWASP Top 10 Mo API Security, Mo API Security, API Security, Saogalemu

Fa'asinomaga

Tuu se faamatalaga

E le fa'asalalauina lau tuatusi imeli. Fa'ailogaina fanua mana'omia *