Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) stellt eine Liste der größten Sicherheitsrisiken für Anwendungsprogrammierschnittstellen (APIs) zusammen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • OWASP API Security Top 10 zusammenfassen
  • Diese Liste mit der OWASP Top 10 vergleichen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, deren Ziel es ist, die Sicherheit von Webanwendungen zu fördern. OWASP bietet viele kostenlose Ressourcen für die Entwicklung sicherer Web-Apps.

Eine der meistgenutzten Ressourcen der Organisation ist die OWASP Top 10, in der die zehn größten Sicherheitsprobleme für Webanwendungen aufgeführt sind. OWASP unterhält auch eine separate, ähnliche Liste für App-Programmierschnittstellen (API), die für die meisten Web- und Mobilerfahrungen von entscheidender Bedeutung sind.

API können Unternehmen Wettbewerbsvorteile verschaffen, indem sie Geschäftsdaten liefern, Cloud-Bereitstellungen erleichtern und die Integration von KI-Funktionen ermöglichen. API bringen jedoch auch neue Risiken mit sich, da sie Außenstehenden den Zugriff auf Apps, das Teilen von Daten und die Ausführung potenziell sensibler Workflows ermöglichen.

Diese OWASP API Security Top 10, die zuletzt 2023 veröffentlicht wurden, zeigen die wichtigsten Probleme, die Unternehmen angehen sollten, um ihre API, Anwendungen und Daten besser zu schützen. Die Liste umfasst:

  1. Fehlerhafte Autorisierung auf Objektebene: Angreifer könnten versuchen, API-Endpunkte auszunutzen, die anfällig für eine fehlerhafte Autorisierung auf Objektebene sind. Sie könnten Objektkennungen innerhalb einer Anfrage manipulieren, um unbefugten Zugriff auf vertrauliche Daten zu erhalten.
  2. Fehlerhafte Authentifizierung: Wenn die Authentifizierung fehlerhaft implementiert ist, können sich Angreifer als API-Nutzer ausgeben und Zugriff auf vertrauliche Daten erhalten.
  3. Fehlerhafte Autorisierung auf Ebene der Objekteigenschaft: Fehlende Autorisierung oder unsachgemäße Validierung der Autorisierung auf der Ebene der Objekteigenschaft kann dazu führen, dass Informationen preisgegeben oder anfällig für Manipulationen durch Unbefugte werden.
  4. Unbeschränkter Ressourcenverbrauch: Viele API legen keine Beschränkungen für Client-Interaktionen oder den Ressourcenverbrauch fest. Angreifer könnten ein hohes Volumen an API-Aufrufen generieren, was die Betriebskosten erhöhen und zu einer Dienstverweigerung führen kann.
  5. Fehlerhafte Autorisierung auf Funktionsebene: Ein Angreifer kann einen legitimen API-Aufruf an einen Endpunkt senden, auf den er keinen Zugriff haben sollte. So könnte er Zugriff auf Ressourcen oder Verwaltungsfunktionen anderer Nutzer erhalten.
  6. Uneingeschränkter Zugang zu sensiblen Geschäftsabläufen: Eine API könnte einen Geschäftsablauf offenlegen (z. B. das Posten eines Kommentars auf einer Website, den Kauf eines Produkts oder die Vornahme einer Reservierung) und es einem Angreifer ermöglichen, diesen Ablauf exzessiv auszuführen.
  7. Serverseitige Anfragefälschung: Eine API kann eine Remote-Ressource abrufen, ohne die vom Nutzer angegebene URL zu validieren. Beispielsweise könnte ein Nutzer eine URL angeben, um ein Bild auf eine Social-Media-Plattform hochzuladen. Diese URL könnte dann einen Portscan innerhalb eines internen Netzwerks auslösen.
  8. Unzureichende Bestandsverwaltung: API kann mehr Endpunkte offenlegen als herkömmliche Webanwendungen. Wenn Unternehmen keine Bestandsaufnahme der Hosts und der bereitgestellten API-Versionen durchführen, können veraltete API-Versionen und Endpunkte ungeschützt bleiben.
  9. Unsichere API-Nutzung: Angreifer können Dienste von Drittanbietern ins Visier nehmen, die mit der API interagieren, anstatt die API direkt anzugreifen. Sie wissen, dass Entwickler Daten von Drittanbieter-API oft mehr vertrauen als Nutzereingaben.
  10. Weitere Informationen über diese zehn Sicherheitsrisiken finden Sie auf der offiziellen Seite von OWASP .

    Es gibt einige Überschneidungen zwischen der OWASP Top 10-Liste (vollständige Liste hier) und der OWASP API Security Top 10-Liste. So steht beispielsweise eine fehlerhafte Zugriffskontrolle an erster Stelle der OWASP Top 10-Liste und unter den ersten fünf Sicherheitsproblemen in der API-Liste finden sich verschiedene Formen fehlerhafter Authentifizierung und Autorisierung. Darüber hinaus erscheinen auf beiden Listen auch Sicherheitsfehlkonfigurationen und serverseitige Anfragefälschung.

    Allerdings bergen API im Vergleich zu Web-Apps einige andere Risiken. Entwickler sollten daher beide Listen berücksichtigen.

    Wie hilft Cloudflare bei der Bewältigung von API-Sicherheitsrisiken?

    Cloudflare API Shield stellt sicher, dass APIs sicher sind und wie vorgesehen funktionieren: Durch API-Erkennungsfunktionen, zentralisierte API-Verwaltung und -Überwachung sowie innovative, mehrschichtige Schutzmaßnahmen. API Shield ist Teil des Cloudflare-Portfolios für Anwendungssicherheit, die zusätzliche Funktionen bietet, um Bot-, DDoS und App-Angriffe zu stoppen und gleichzeitig nach Supply-Chain-Angriffen Ausschau zu halten.

    Erfahren Sie, wie die Cloudflare-Funktionen die spezifischen Risiken angehen, die in den OWASP API Security Top 10 aufgeführt sind. Und lernen Sie weitere API-Sicherheitslösungen von Cloudflare kennen.

    FAQs

    Was ist das OWASP (Open Web Application Security Project)?

    OWASP ist eine gemeinnützige Organisation, die die Sicherheit von Webanwendungen fördert, indem sie kostenlose Ressourcen wie bewährte Sicherheitspraktiken und Risikolisten bereitstellt, um Organisationen dabei zu unterstützen, ihre Anwendungen zu sichern.

    Was ist die OWASP API Security Top 10?

    Die OWASP API Security Top 10 ist eine Liste der kritischsten Sicherheitsrisiken für APIs. Es hilft Organisationen, häufige Schwachstellen im Design und in der Implementierung von APIs zu verstehen und zu beheben.

    Was bedeutet „fehlerhafte Autorisierung“ (broken authorization) in der API-Sicherheit?

    „Fehlerhafte Autorisierung“ kann sich auf verschiedene OWASP-Risiken für APIs beziehen: fehlerhafte Autorisierung auf Objektebene, fehlerhafte Autorisierung auf Objekteigenschaftsebene und fehlerhafte Autorisierung auf Funktionsebene. Alle drei dieser Schwachstellen können Angreifern ermöglichen, sensible Daten offenzulegen oder zu manipulieren.

    Was sind einige Beispiele für API-Sicherheitsrisiken?

    Zu den wichtigsten API-Risiken zählen der uneingeschränkte Ressourcenverbrauch, die serverseitige Anfragefälschung (SSRF) und eine unzureichende API-Bestandsverwaltung, die alle zur Offenlegung von Daten oder Dienstunterbrechung führen können.

    Was sind die Schwachstellen bei der Authentifizierung in APIs?

    Authentifizierungs-Schwachstellen treten auf, wenn APIs Benutzer nicht ordnungsgemäß verifizieren, was es Angreifern ermöglicht, sich als legitime Benutzer auszugeben und unbefugten Zugriff auf sensible Daten zu erlangen.

    Was sind API-Risiken von Drittanbietern?

    Wenn eine API mit externen Diensten interagiert, können Drittanbieter-API-Risiken entstehen. Angreifer könnten diese externen Dienste ins Visier nehmen, anstatt die API direkt anzugreifen, insbesondere wenn die API dazu neigt, den Daten dieser Drittanbieter-Dienste zu vertrauen.

    Was ist Cloudflare API Shield?

    Cloudflare API Shield ist eine Lösung, die Organisationen dabei unterstützt, ihre APIs zu sichern, indem es API-Erkennung, zentralisierte Verwaltung, Überwachung und mehrschichtige Sicherheitsvorkehrungen bietet.

    Wie hängen die OWASP API Security Top 10 mit den OWASP Top 10 für Webanwendungen zusammen?

    Beide dieser Listen kategorisieren gängige Sicherheitsrisiken. Die OWASP API Security Top 10 sind spezifisch für APIs, während die OWASP Top 10 im Allgemeinen für Webanwendungen gelten. APIs sind fast immer entscheidende Bestandteile der Infrastruktur einer Webanwendung, daher sollten sicherheitsbewusste Webentwickler beide Listen berücksichtigen. Es gibt einige Überschneidungen bei den Arten von Sicherheitsrisiken, denen APIs und Webanwendungen ausgesetzt sind, wie z. B. Probleme mit fehlerhafter Zugriffskontrolle und serverseitiger Anfragefälschung, aber die Implementierung von Lösungen für diese Risiken wird bei APIs und Webanwendungen leicht unterschiedlich sein.

    Was bedeutet die Ausnutzung von Geschäftsabläufen in APIs?

    Die Ausnutzung von Geschäftsabläufen tritt auf, wenn Angreifer legitime API-Workflows missbrauchen – z. B. durch übermäßige Käufe oder Reservierungen –, um den Geschäftsbetrieb zu stören.