API安全性自查清单

企业需要寻求更加有效API安全防护策略和方法，以减少API安全治理的复杂性和管理成本。

参考2023年度“OWASP TOP 10 API安全风险”清单，安全研究人员总结梳理了一份易于遵循的API安全性检查清单，通过全面的API安全风险检查，企业可以有效提升API应用的安全性。

OWASP - A1 ：对象级授权

1. 验证是否使用用户策略和层次结构实现授权检查； 

2. 验证API是否需要依赖于从客户端发送的身份ID，API应用应该检查会话中存储对象的ID； 

3. 验证服务器配置是否按照所使用的应用服务器和框架的建议进行了加固； 

4. 验证API是否实现了在每次客户端请求访问数据库时检查授权； 

5. 验证API没有使用随机猜测ID（UUID）。 

OWASP - A2：破损的认证

1. 验证是否全面认证所有API； 

2. 验证密码重置API和一次性链接是否允许用户一起进行身份验证，并受到严格保护； 

3. 验证API是否实现标准的身份验证，令牌生成，密码存储和多因素身份验证； 

4. 验证API是否使用了短期访问令牌； 

5. 验证API是否使用了严格的速率限制身份验证，并实现锁定策略和弱密码检查。

OWASP - A3：过度的数据暴露

1. 验证API是否依赖于客户端来过滤数据； 

2. 验证API响应性，并根据API使用者的实际需要调整响应； 

3. 验证API规范性，定义所有请求和响应的模式； 

4. 验证错误API响应是否已经明确定义； 

5. 验证所有敏感或PII信息的使用是否有明确的理由； 

6. 验证API强制响应检查措施，以防止意外的数据和异常泄漏。

OWASP - A4：缺乏资源和速率限制

1. 验证是否根据API方法、客户端和地址配置了速率限制； 

2. 验证有效载荷限制是否已配置； 

3. 在执行速率限制时验证压缩比；

4. 验证计算/容器资源上下文中的速率限制。 

OWASP - A5：无效的功能级授权

1. 验证默认情况下是否能够拒绝所有访问； 

2. 验证API是否依赖于应用程序来强制管理访问； 

3. 验证所有不需要的功能是否都被禁用； 

4. 验证计算/容器资源内容中的速率限制是否有效； 

5. 确保仅根据特定角色授予角色； 

6. 验证授权策略是否在API中正确实现。

OWASP - A6：批量分配

1. 验证API是否自动绑定传入数据和内部对象； 

2. 验证API是否显示定义组织期望的所有参数和有效负载； 

3. 验证API在设计时是否精确定义了访问请求中接受的模式、类型和模式，并在运行时强制执行它们。

OWASP - A7：安全配置错误

1. 验证API实现是否可重复，并且加固和修复活动已纳入开发过程；

2. 验证API生态系统是否具有自动定位配置缺陷的过程； 

3. 验证平台是否在所有API中禁用了不必要的功能； 

4. 验证API安全系统是否可以限制管理访问； 

5. 验证所有的输出是否安全，包括错误的输入； 

6. 验证授权策略是否在API中正确实现。

OWASP - A8：请求伪造  

1. 验证API对各类消费者的信任机制是否正确，即使是对内部员工的； 

2. 验证API是否严格定义所有输入数据：模式、类型、字符串模式，并在运行时强制执行； 

3. 验证API是否可以对所有传入数据进行验证、过滤和阻断； 

4. 验证API是否定义、限制和执行API输出，以防止数据泄漏。

OWASP - A9：资产管理不当

1. 验证平台能否限制访问任何不应公开的内容；  

2. 验证API应用架构是否具备额外的外部安全控制，如API防火墙； 

3. 验证一个API应用进程是否被有效地管理； 

4. 验证架构是否实现严格的API身份验证、重定向等。

OWASP - A10：日志记录和监控不足

1. 验证API日志的完整性和准确性； 

2. 验证日志格式是否可以被其他工具有效使用； 

3. 验证API应用管理平台是否对敏感日志进行了有效保护； 

4. 验证API应用平台是否包含足够的详细信息以识别攻击者； 

5. 验证平台与SIEM等其他安全工具是否可以协同、集成。