OWASP API Security Top 10 (2023)은 최신 API 보안 위협을 반영한 핵심 취약점 목록입니다. API1부터 API10까지 조직에서 반드시 점검해야 할 항목을 소개합니다. (출처: OWASP 공식 문서)
| 코드 | 항목명 | 설명 |
|---|---|---|
| API1 | Broken Object Level Authorization | 객체 ID 기반 접근제어 오류로 인해 타인 자원 접근 가능 |
| API2 | Broken Authentication | 인증 구현 오류로 인해 사용자 자격 증명 탈취 또는 우회 |
| API3 | Broken Object Property Level Authorization | 객체 속성 단위 권한 검증 부족 → 민감 데이터 접근/변조 가능 |
| API4 | Unrestricted Resource Consumption | 자원 사용 제한 부재, DoS 또는 비용 증가 여지 있음 |
| API5 | Broken Function Level Authorization | 기능 단위 권한 오류로 인해 관리자 기능 등 부적절 접근 가능 |
| API6 | Unrestricted Access to Sensitive Business Flows | 비즈니스 흐름 노출로 자동화 악용 시 심각한 운영 영향 |
| API7 | Server Side Request Forgery (SSRF) | 서버가 사용자 입력을 통해 내부 시스템 요청 실행 위험 |
| API8 | Security Misconfiguration | API 구성 설정 오류로 인해 보안 위협 노출 가능 |
| API9 | Improper Inventory Management | API 자원 목록 최신화 부족 → 공격면 탐지·관리 곤란 |
| API10 | Unsafe Consumption of APIs | API 클라이언트 측 부적절 사용으로 인증 우회·데이터 노출 가능 |
API3는 2019년의 Excessive Data Exposure와 Mass Assignment를 통합한 항목입니다.API6, API7, API10이 2023년 리스트에 새롭게 포함되었습니다.API1, API2, API5, API8은 이전 목록과 동일한 중요 항목으로 유지되었습니다.https://owasp.org/API-Security/editions/2023/en/0x11-t10/