按OWASP API Security Top 10 2023补安全用例

2023年5月记录，分类「安全测试」。内容按测试执行视角整理，尽量把背景、操作和验收口径讲清楚。

补用例的入口

OWASP API Security Top 10 2023 我不会逐条照搬，而是把它映射到当前系统的用户、租户、对象和接口类型上。

对测试来说，最后要落到可复现、可验证、可交接，文章也是按这个思路写的。

怎么映射业务

• 先找对象级授权、认证、资源消耗这几类高风险接口。
• 对批量查询、导出、详情、状态变更重点补越权用例。
• 把扫描结果和手工复现请求放在同一个缺陷里。

API1: 对象级授权
API4: 资源消耗
API5: 功能级授权
API8: 安全配置错误

缺陷材料

• 每条安全用例能对应具体业务资产。
• 复现步骤包含账号角色和请求参数。
• 修复后验证正常权限不受影响。

落到团队协作里，重点是让新人能照着补用例，开发也能看懂为什么要改。

验收

安全清单只有落到业务对象上才有用，否则很容易变成泛泛而谈。如果放到流水线里，建议先从最小冒烟开始，再逐步扩大覆盖。