API io 和 Web App io 有什么区别? (OWASP 的前 10 名)
What are the differences between API io and Web App io? (OWASP's top 10s)
我会简明扼要。我目前正在学习网络安全课程,其中我们涵盖了 OWASP 的前 10 个(API 和 Web 应用程序),但我似乎无法区分这两个 concepts/terms。
我的意思是,当他们说:“好的,所以注入在 Web 应用程序的前 10 名中排名第一,但在 API”
中排名第 8 位时,我感到非常困惑
所有这一切的主要问题是,即使是 OWASP 的官方网站也没有提供对“Web Apps”和“APIs”(或者为什么有 2 个“top 10s”)之间差异的澄清,而且我无法在其他地方找到答案(直到我最终到达 google 结果的第 4 页)。
“Web Apps top 10”是否仅指前端?
“API 前 10 名”是否同时指网络 API 和非基于网络的 API?
如果有人能向我详细说明这两个概念之间的区别,我将不胜感激。
Web 应用程序是人类与之交互的东西,例如 Facebook、亚马逊、人类使用的网站。 UI 通常会使用通过 HTTP(S) 传送的 HTML、JavaScript、CSS 等。它还可以使用网络 API。
Web API 没有 UI,它们 return 结构化数据,例如 XML、JSON、CSV 等。它们被网络应用程序(和其他应用程序也可能)。它们也通过 HTTP(S) 交付,但(通常)不使用 HTML、JavaScript、CSS 或更专注于 UI.[=10 的任何其他技术=]
Web 应用程序和 Web API 是相关的,但它们具有非常不同的配置文件和不同的潜在漏洞,这就是为什么它们有单独的 OWASP Top 10。
例如,跨站点脚本是一个非常重要的问题,但它只真正影响网络应用程序,而不是网络 API。
我会简明扼要。我目前正在学习网络安全课程,其中我们涵盖了 OWASP 的前 10 个(API 和 Web 应用程序),但我似乎无法区分这两个 concepts/terms。 我的意思是,当他们说:“好的,所以注入在 Web 应用程序的前 10 名中排名第一,但在 API”
中排名第 8 位时,我感到非常困惑所有这一切的主要问题是,即使是 OWASP 的官方网站也没有提供对“Web Apps”和“APIs”(或者为什么有 2 个“top 10s”)之间差异的澄清,而且我无法在其他地方找到答案(直到我最终到达 google 结果的第 4 页)。
“Web Apps top 10”是否仅指前端?
“API 前 10 名”是否同时指网络 API 和非基于网络的 API?
如果有人能向我详细说明这两个概念之间的区别,我将不胜感激。
Web 应用程序是人类与之交互的东西,例如 Facebook、亚马逊、人类使用的网站。 UI 通常会使用通过 HTTP(S) 传送的 HTML、JavaScript、CSS 等。它还可以使用网络 API。
Web API 没有 UI,它们 return 结构化数据,例如 XML、JSON、CSV 等。它们被网络应用程序(和其他应用程序也可能)。它们也通过 HTTP(S) 交付,但(通常)不使用 HTML、JavaScript、CSS 或更专注于 UI.[=10 的任何其他技术=]
Web 应用程序和 Web API 是相关的,但它们具有非常不同的配置文件和不同的潜在漏洞,这就是为什么它们有单独的 OWASP Top 10。
例如,跨站点脚本是一个非常重要的问题,但它只真正影响网络应用程序,而不是网络 API。