OWASP API Architecture Security
OWASP Top 10 API Security是由全球知名的非營利資安組織 OWASP 所統整發布的指南,列出了目前現代 API 架構中最常見、最具破壞力的十大安全風險。而和架構、營運與業務邏輯 (API 4, 6, 7, 8, 9, 10)相關的有:安全設定錯誤,資源消耗不受限,SSRF,不安全地消耗 API,對敏感業務流程的無限制存取,不當的清單管理。
OWASP Top 10 API Security是由全球知名的非營利資安組織 OWASP 所統整發布的指南,列出了目前現代 API 架構中最常見、最具破壞力的十大安全風險。而和架構、營運與業務邏輯 (API 4, 6, 7, 8, 9, 10)相關的有:安全設定錯誤,資源消耗不受限,SSRF,不安全地消耗 API,對敏感業務流程的無限制存取,不當的清單管理。
OWASP Top 10 API Security是由全球知名的非營利資安組織 OWASP 所統整發布的指南,列出了目前現代 API 架構中最常見、最具破壞力的十大安全風險。而和身分與存取控制 (API 1, 2, 3, 5)相關的有:失效的身份驗證,失效的功能等級授權,失效的物件等級授權,失效的物件屬性等級授權。
子域名枚舉是網路偵察(Reconnaissance)中的一個關鍵步驟,目的是找到一個主域名下所有相關的子域名,接著攻擊者就可根據子域名清單安排攻擊計劃。
OWASP Top 10是一份由開放式網路應用安全計畫制定的網路應用程式安全風險清單,涵蓋存取控制失效、加密失效、注入攻擊等十種主要風險,並基於全球攻擊數據與社群調查進行排序,旨在提高安全意識與防護措施。
網路攻擊鏈是Lockheed Martin提出的資安攻防架構,旨在協助防禦者識別與阻止駭客入侵行動。Cyber Kill Chain將攻擊者從入侵準備到完成任務的過程劃分為七個明確步驟,並強調只要能在任一階段成功中斷攻擊鏈,便可有效阻止整體攻擊行動的達成。