API的安全危机
1、损坏的对象级别授权:API倾向于暴露那些处理对象识别的端点,造成了广泛的攻击面访问控制问题;
2、损坏的用户身份验证:身份验证机制通常实施不正确,从而使攻击者可以破坏身份验证令牌或利用实施缺陷来临时或永久地假冒其他用户的身份;
3、数据泄露过多:开发人员倾向于公开所有对象属性而不考虑其个体敏感性,依靠客户端执行数据过滤并显示;
4、缺乏资源和速率限制:API不会对客户端/用户可以请求的资源大小或数量施加任何限制;
6、批量分配:将客户端提供的数据绑定到数据模型,而没有基于白名;单的适当属性过滤;
7、注入:当不受信任的数据作为命令或查询的一部分发送到解释器时会发生注入缺陷,例如SQL、NoSQL的命令注入等。