澳大利亚和美国政府发布了一份关于Web应用程序和应用程序编程接口（API）日益增长的网络威胁的联合咨询。

澳大利亚网络安全中心（ACSC）、美国网络安全和基础设施安全局（CISA）和美国国家安全局（NSA）于2023年7月27日发布了《防止Web应用程序访问控制滥用》指南。

它警告Web应用程序开发人员和用户有关不安全的直接对象引用（IDOR）漏洞的频繁利用-访问控制漏洞，允许威胁参与者通过向指定其他有效用户的用户标识符的网站或API发出请求来修改、删除或访问敏感数据。

为什么API安全可能是网络领域的下一件大事

该报告指出，IDOR漏洞是攻击者的主要目标，因为它们是常见的，很难在开发过程之外防止。它写道：“IDOR漏洞已经导致数百万用户和消费者的个人、财务和健康信息泄露。”

当无法执行足够的身份验证和授权检查时，这些攻击就会成功，从而使威胁参与者的请求生效。

这些机构向供应商、设计师、开发人员和最终用户组织发布了一系列建议，以减少IDOR漏洞的流行：

供应商和开发商

在软件开发生存周期（SDLC）的每一个阶段中实现设计安全原则。推荐的做法可以在国家安全和技术研究所（NIST）的安全软件开发框架（SSDF）中找到，SP 800-218. 其他通过设计实现安全的建议包括测试代码以识别漏洞并验证是否符合安全要求，以及对负责安全软件开发的人员进行基于角色的培训。

建立漏洞披露程序。这应该使内部和外部的安全漏洞的披露。

最终用户组织

在选择网络应用程序时进行尽职调查。特别是，从信誉良好的供应商那里采购，“这些供应商展示了对通过设计和默认原则实现安全的承诺”。

尽快为网上应用系统安装软件修补程式

配置应用程序以记录篡改尝试并生成警报

创建、维护和执行基本的网络事件响应计划（IRP）

这份新的建议符合美国政府的国家网络安全战略，该战略旨在让技术供应商和开发商承担更多软件产品安全的责任。