Das Open Web Application Security Project (OWASP) stellt eine Liste der größten Sicherheitsrisiken für Anwendungsprogrammierschnittstellen (APIs) zusammen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist API-Sicherheit?
Was sind die OWASP Top 10?
Was ist ein API?
Was ist ein API-Aufruf?
Sichere Webanwendungen
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, deren Ziel es ist, die Sicherheit von Webanwendungen zu fördern. OWASP bietet viele kostenlose Ressourcen für die Entwicklung sicherer Web-Apps.
Eine der meistgenutzten Ressourcen der Organisation ist die OWASP Top 10, in der die zehn größten Sicherheitsprobleme für Webanwendungen aufgeführt sind. OWASP unterhält auch eine separate, ähnliche Liste für App-Programmierschnittstellen (API), die für die meisten Web- und Mobilerfahrungen von entscheidender Bedeutung sind.
API können Unternehmen Wettbewerbsvorteile verschaffen, indem sie Geschäftsdaten liefern, Cloud-Bereitstellungen erleichtern und die Integration von KI-Funktionen ermöglichen. API bringen jedoch auch neue Risiken mit sich, da sie Außenstehenden den Zugriff auf Apps, das Teilen von Daten und die Ausführung potenziell sensibler Workflows ermöglichen.
Diese OWASP API Security Top 10, die zuletzt 2023 veröffentlicht wurden, zeigen die wichtigsten Probleme, die Unternehmen angehen sollten, um ihre API, Anwendungen und Daten besser zu schützen. Die Liste umfasst:
Weitere Informationen über diese zehn Sicherheitsrisiken finden Sie auf der offiziellen Seite von OWASP .
Es gibt einige Überschneidungen zwischen der OWASP Top 10-Liste (vollständige Liste hier) und der OWASP API Security Top 10-Liste. So steht beispielsweise eine fehlerhafte Zugriffskontrolle an erster Stelle der OWASP Top 10-Liste und unter den ersten fünf Sicherheitsproblemen in der API-Liste finden sich verschiedene Formen fehlerhafter Authentifizierung und Autorisierung. Darüber hinaus erscheinen auf beiden Listen auch Sicherheitsfehlkonfigurationen und serverseitige Anfragefälschung.
Allerdings bergen API im Vergleich zu Web-Apps einige andere Risiken. Entwickler sollten daher beide Listen berücksichtigen.
Cloudflare API Shield stellt sicher, dass APIs sicher sind und wie vorgesehen funktionieren: Durch API-Erkennungsfunktionen, zentralisierte API-Verwaltung und -Überwachung sowie innovative, mehrschichtige Schutzmaßnahmen. API Shield ist Teil des Cloudflare-Portfolios für Anwendungssicherheit, die zusätzliche Funktionen bietet, um Bot-, DDoS und App-Angriffe zu stoppen und gleichzeitig nach Supply-Chain-Angriffen Ausschau zu halten.
Erfahren Sie, wie die Cloudflare-Funktionen die spezifischen Risiken angehen, die in den OWASP API Security Top 10 aufgeführt sind. Und lernen Sie weitere API-Sicherheitslösungen von Cloudflare kennen.
OWASP ist eine gemeinnützige Organisation, die die Sicherheit von Webanwendungen fördert, indem sie kostenlose Ressourcen wie bewährte Sicherheitspraktiken und Risikolisten bereitstellt, um Organisationen dabei zu unterstützen, ihre Anwendungen zu sichern.
Die OWASP API Security Top 10 ist eine Liste der kritischsten Sicherheitsrisiken für APIs. Es hilft Organisationen, häufige Schwachstellen im Design und in der Implementierung von APIs zu verstehen und zu beheben.
„Fehlerhafte Autorisierung“ kann sich auf verschiedene OWASP-Risiken für APIs beziehen: fehlerhafte Autorisierung auf Objektebene, fehlerhafte Autorisierung auf Objekteigenschaftsebene und fehlerhafte Autorisierung auf Funktionsebene. Alle drei dieser Schwachstellen können Angreifern ermöglichen, sensible Daten offenzulegen oder zu manipulieren.
Zu den wichtigsten API-Risiken zählen der uneingeschränkte Ressourcenverbrauch, die serverseitige Anfragefälschung (SSRF) und eine unzureichende API-Bestandsverwaltung, die alle zur Offenlegung von Daten oder Dienstunterbrechung führen können.
Authentifizierungs-Schwachstellen treten auf, wenn APIs Benutzer nicht ordnungsgemäß verifizieren, was es Angreifern ermöglicht, sich als legitime Benutzer auszugeben und unbefugten Zugriff auf sensible Daten zu erlangen.
Wenn eine API mit externen Diensten interagiert, können Drittanbieter-API-Risiken entstehen. Angreifer könnten diese externen Dienste ins Visier nehmen, anstatt die API direkt anzugreifen, insbesondere wenn die API dazu neigt, den Daten dieser Drittanbieter-Dienste zu vertrauen.
Cloudflare API Shield ist eine Lösung, die Organisationen dabei unterstützt, ihre APIs zu sichern, indem es API-Erkennung, zentralisierte Verwaltung, Überwachung und mehrschichtige Sicherheitsvorkehrungen bietet.
Beide dieser Listen kategorisieren gängige Sicherheitsrisiken. Die OWASP API Security Top 10 sind spezifisch für APIs, während die OWASP Top 10 im Allgemeinen für Webanwendungen gelten. APIs sind fast immer entscheidende Bestandteile der Infrastruktur einer Webanwendung, daher sollten sicherheitsbewusste Webentwickler beide Listen berücksichtigen. Es gibt einige Überschneidungen bei den Arten von Sicherheitsrisiken, denen APIs und Webanwendungen ausgesetzt sind, wie z. B. Probleme mit fehlerhafter Zugriffskontrolle und serverseitiger Anfragefälschung, aber die Implementierung von Lösungen für diese Risiken wird bei APIs und Webanwendungen leicht unterschiedlich sein.
Die Ausnutzung von Geschäftsabläufen tritt auf, wenn Angreifer legitime API-Workflows missbrauchen – z. B. durch übermäßige Käufe oder Reservierungen –, um den Geschäftsbetrieb zu stören.