HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Top 10 OWASP là gì?

24/07/2025
Trong thời đại số hóa toàn diện, API (Application Programming Interface) đã trở thành mắt xích không thể thiếu trong mọi hệ sinh thái kỹ thuật số – từ ứng dụng web, di động, IoT cho đến tích hợp nền tảng. Chính vì vậy, API cũng đang là mục tiêu tấn công hàng đầu của tin tặc hiện nay.

Theo “2024 API Security Impact Study”, 84% tổ chức đã trải qua ít nhất một sự cố bảo mật API trong vòng 12 tháng, cho thấy rủi ro từ API đang leo thang nghiêm trọng.

Vậy tại sao API lại bị đe dọa?

Dưới đây là những lý do khiến API trở thành mục tiêu hấp dẫn của hacker:

  • Phổ biến và đa dạng: API có mặt khắp nơi, mở rộng bề mặt tấn công và tăng số lượng điểm đầu vào tiềm năng.
  • Truy cập dữ liệu nhạy cảm: API thường xử lý thông tin quan trọng như dữ liệu người dùng, tài chính, tài sản trí tuệ…
  • Truy cập trực tiếp backend: Hacker có thể vượt qua lớp giao diện người dùng và tấn công trực tiếp hệ thống nội bộ.
  • Cấu hình phức tạp, dễ sai sót: Nhiều endpoint, nhiều phiên bản – chỉ cần một lỗi nhỏ có thể mở ra cánh cửa cho kẻ tấn công.
  • Khó giám sát và thiếu cảnh báo: Nhiều API bị vận hành âm thầm (shadow API), thiếu log và không có công cụ phát hiện kịp thời.

OWASP Top 10 rủi ro bảo mật API 2023

OWASP (Open Worldwide Application Security Project) là một tổ chức phi lợi nhuận chuyên cải thiện bảo mật phần mềm, nổi tiếng với danh sách Top 10 rủi ro bảo mật. Phiên bản cập nhật năm 2023 phản ánh tầm quan trọng ngày càng tăng và những thách thức độc đáo của việc bảo mật API.

  1. API1:2023 – Broken Object Level Authorization: Không kiểm soát quyền truy cập từng đối tượng, gây rò rỉ dữ liệu cá nhân. 
  2. API2:2023 – Broken Authentication: Lỗi xác thực khiến tài khoản dễ bị chiếm đoạt. 
  3. API3:2023 – Broken Object Property Level Authorization: Bỏ sót kiểm soát truy cập với các thuộc tính dữ liệu cụ thể. 
  4. API4:2023 – Unrestricted Resource Consumption: Không giới hạn tài nguyên, dễ bị tấn công từ chối dịch vụ (DoS). 
  5. API5:2023 – Broken Function Level Authorization: API không hạn chế đúng cách quyền truy cập vào các chức năng hoặc hành động dựa trên vai trò người dùng, cho phép người dùng thực hiện các hành động mà họ không có quyền (ví dụ: truy cập chức năng quản trị).
  6. API6:2023 – Unrestricted Access to Sensitive Business Flows: API phơi bày các quy trình kinh doanh nhạy cảm mà không kiểm soát đầy đủ cách chúng bị lạm dụng, cho phép kẻ tấn công tự động hóa việc lạm dụng để gây hại cho doanh nghiệp.
  7. API7:2023 – Server Side Request Forgery (SSRF): Máy chủ API bị ép gửi yêu cầu đến các địa chỉ độc hại.
  8. API8:2023 – Security Misconfiguration: Cấu hình sai hoặc thiếu bảo mật cơ bản. 
  9. API9:2023 – Improper Inventory Management: Thiếu kiểm kê, quản lý các endpoint lỗi thời hoặc dư thừa.
  10. API10:2023 – Unsafe Consumption of APIs: Nhà phát triển tin tưởng quá mức vào dữ liệu từ các API bên thứ ba mà không áp dụng các tiêu chuẩn bảo mật tương tự như đầu vào của người dùng, cho phép kẻ tấn công khai thác lỗ hổng trong các dịch vụ bên thứ ba để xâm phạm API gián tiếp.

Ngoài ra, các rủi ro từ phiên bản OWASP API Security trước đó vẫn còn tồn tại và đe dọa các tổ chức, bao gồm: Excessive Data Exposure (rò rỉ dữ liệu không cần thiết), Lack of Rate Limiting (thiếu giới hạn tốc độ), Mass Assignment (gán thuộc tính hàng loạt), Injection (chèn mã), Insufficient Logging & Monitoring (ghi nhật ký và giám sát không đầy đủ), và Improper Assets Management (quản lý tài sản không phù hợp).

Cách phòng vệ chống lại OWASP Top 10 

Để bảo vệ API của bạn, các nhóm IT và bảo mật nên triển khai một chiến lược bảo mật API đa lớp, tập trung vào bốn chức năng chính:

  1. API Discovery (Khám phá API): Xác định và lập danh mục tất cả các API của bạn (bao gồm cả API "bóng ma", cũ, không dùng nữa), bất kể cấu hình hay loại nào, để loại bỏ các điểm mù và lộ trình tấn công tiềm năng.
  2. API Security Posture Management (Quản lý tư thế bảo mật API): Có cái nhìn toàn diện về lưu lượng, mã và cấu hình để đánh giá tư thế bảo mật API của tổ chức, tự động quét hạ tầng để tìm lỗi cấu hình và rủi ro ẩn, đồng thời ưu tiên khắc phục.
  3. API Runtime Security (Bảo mật thời gian chạy API): Phát hiện và chặn các cuộc tấn công trong thời gian thực cho tất cả các API đang hoạt động trong môi trường sản xuất, bao gồm giám sát thao túng dữ liệu, rò rỉ, vi phạm chính sách và hành vi đáng ngờ.
  4. API Security Testing (Kiểm thử bảo mật API): Chạy các bài kiểm thử tự động mô phỏng lưu lượng độc hại để phát hiện lỗ hổng trước khi API được triển khai vào môi trường sản xuất, giảm rủi ro tấn công thành công.

Cách tiếp cận toàn diện này hoạt động như một sự bổ sung quan trọng cho các công cụ hiện có của tổ chức như API gateways và Web Application Firewalls (WAFs).

Ngoài ra, các kỹ thuật và công nghệ sau cũng cần được áp dụng:

  • Xác thực và ủy quyền: Triển khai ủy quyền chi tiết, sử dụng cơ chế xác thực mạnh mẽ (MFA, OAuth 2.0) và chính sách mật khẩu mạnh.
  • Kiểm soát truy cập: Áp dụng kiểm soát truy cập ở cấp độ thuộc tính và chức năng, tuân thủ nguyên tắc đặc quyền tối thiểu.
  • Giới hạn tốc độ và giám sát tài nguyên: Đặt giới hạn số lượng yêu cầu API, điều tiết và giám sát liên tục việc sử dụng tài nguyên.
  • Xác thực và vệ sinh dữ liệu đầu vào/đầu ra: Đảm bảo URL và các đầu vào khác được xác thực và vệ sinh đúng cách; xử lý dữ liệu từ API bên thứ ba với sự thận trọng tương tự.
  • Phân đoạn mạng: Hạn chế các yêu cầu phía máy chủ chỉ đến các dịch vụ nội bộ cần thiết để giới hạn tác động của các cuộc tấn công SSRF.
  • Cấu hình và kiểm kê: Củng cố cài đặt cấu hình API, tự động hóa quản lý cấu hình bảo mật, và duy trì kiểm kê API cập nhật.
  • Kiểm thử và kiểm toán: Thực hiện kiểm thử bảo mật liên tục và kiểm toán thường xuyên.
  • Mã hóa: Sử dụng TLS để mã hóa dữ liệu khi truyền tải.
  • Tường lửa và cổng API: Triển khai WAF để bảo vệ khỏi các cuộc tấn công web phổ biến và sử dụng API gateway làm điểm vào duy nhất để thực hiện các tác vụ bảo mật.
  • Bản vá và cập nhật: Thường xuyên áp dụng các bản vá, cập nhật và sửa lỗi bảo mật.
  • Áp dụng Zero Trust: Khung Zero Trust yêu cầu mọi truy cập vào API phải được xác thực và xác thực liên tục, ngăn chặn truy cập trái phép và hạn chế thiệt hại.

Bảo vệ API hiệu quả hơn với giải pháp từ Akamai

Akamai API Security cung cấp một lớp bảo vệ toàn diện cho hệ thống API của bạn – từ khâu khám phá, phân loại đến giám sát thời gian thực và ngăn chặn hành vi tấn công. Dựa trên nền tảng cloud phân tán toàn cầu của Akamai, giải pháp này cho phép:

  • Tự động phát hiện và kiểm kê API (kể cả các API bóng ma)
  • Ngăn chặn các cuộc tấn công API phổ biến (như khai thác lỗi xác thực, SSRF, DoS...)
  • Bảo vệ API ở cả cấp độ truy cập, cấu trúc dữ liệu và hành vi
  • Tích hợp mượt mà với API gateway và WAF hiện có
  • Phân tích và cảnh báo theo thời gian thực nhờ threat intelligence hàng đầu thế giới

Là tập đoàn tiên phong trong lĩnh vực bảo mật và điện toán đám mây, Akamai mang đến khả năng phòng thủ nhiều lớp, tích hợp thông tin mối đe dọa toàn cầu, cùng nền tảng vận hành ở quy mô internet. Đây là lý do vì sao hàng nghìn doanh nghiệp trên toàn cầu đang tin tưởng Akamai API Security để bảo vệ dữ liệu, đảm bảo hiệu năng và xây dựng hệ sinh thái API an toàn, linh hoạt trong kỷ nguyên số.

Nguồn: OWASP Top 10 API Security Risks

VietSunshine là nhà phân phối của Akamai tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm