API io和Web App io有什么区别？ （OWASP 前 10 名）

Question

我会保持简短和重点。我目前正在参加一个网络安全课程，其中涵盖了 OWASP 的前 10 名（API 和 Web 应用程序），但我似乎无法理解这两个概念/术语之间的区别。 我的意思是，当他们说：“好的，所以 Injection 在 Web 应用程序的前 10 名中排名第一，但在 API 中排名第 8”时，我会感到非常困惑

所有这一切的主要问题是，甚至 OWASP 的官方网站都没有澄清“Web 应用程序”和“API”之间的区别（或者为什么有 2 个“前 10 名”），我没有能够在其他地方找到答案（以至于我最终到达了谷歌结果的第 4 页）。

“Web Apps top 10”是指前端吗？

“API 前 10 名”是否指的是 Web API 和非基于 Web 的 API？

如果有人能很好地澄清这两个概念之间的差异，我将不胜感激。

Answer 1

网络应用程序是人类与之交互的东西，例如 Facebook、亚马逊，人类使用的网站。 UI 通常使用通过 HTTP(S) 交付的 HTML、JavaScript、CSS 等。它还可以使用 Web API。

Web API 没有 UI，它们返回结构化数据，例如 XML、JSON、CSV 等。它们被 Web 应用程序（以及其他潜在应用程序）使用。它们也通过 HTTP(S) 交付，但不（通常）使用 HTML、JavaScript、CSS 或任何其他更专注于 UI 的技术。

Web 应用程序和 Web API 是相关的，但它们具有非常不同的配置文件和不同的潜在漏洞，这就是为什么它们有单独的 OWASP Top 10。

例如，跨站点脚本是一个非常重要的问题，但它只影响 Web 应用程序，而不影响 Web API。