Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) stellt eine Liste der größten Sicherheitsrisiken für Anwendungsprogrammierschnittstellen (APIs) zusammen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • OWASP API Security Top 10 zusammenfassen
  • Diese Liste mit der OWASP Top 10 vergleichen

Link zum Artikel kopieren

Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, deren Ziel es ist, die Sicherheit von Webanwendungen zu fördern. OWASP bietet viele kostenlose Ressourcen für alle, die eine sichere Webanwendung erstellen möchten.

Eine der meistgenutzten Ressourcen ist die OWASP Top 10, in der die 10 größten Sicherheitsprobleme für Webanwendungen aufgeführt sind.

OWASP unterhält auch eine separate, ähnliche Liste für Anwendungsprogrammierschnittstellen (APIs), die ein wichtiger Baustein für die meisten Webanwendungen sind. Diese Liste ist die OWASP API Security Top 10.

Ab 2019* umfasst die OWASP API Security Top 10:

  1. Fehlerhafte Autorisierung auf Objektebene: Dies bezieht sich auf die Manipulation von Objektidentifikatoren innerhalb einer Anfrage, um unbefugten Zugriff auf sensible Daten zu erhalten. Angreifer greifen auf Objekte (Daten) zu, auf die sie keinen Zugriff haben sollten, indem sie einfach die Bezeichner ändern.
  2. Fehlerhafte Authentifizierung von Nutzern: Wenn die Authentifizierung fehlerhaft implementiert ist, können Angreifer sich als API-Nutzer ausgeben und so auf vertrauliche Daten zugreifen.
  3. Übermäßige Offenlegung von Daten: Viele APIs machen einen Fehler bei der Offenlegung von Daten und verlassen sich darauf, dass der API-Nutzer die Daten richtig filtert. Dies könnte dazu führen, dass Unbefugte die Daten einsehen können.
  4. Fehlende Ressourcen- und Durchsatzbegrenzung: Viele APIs begrenzen standardmäßig nicht die Anzahl oder Größe der Anfragen, die sie zu einem bestimmten Zeitpunkt erhalten können. Dadurch sind sie anfällig für Denial-of-Service-Angriffe (DoS).
  5. Fehlerhafte Autorisierung auf Funktionsebene: Dieses Risiko hat mit der Autorisierung zu tun. API-Nutzer können zu viele Berechtigungen erhalten, was zu einer Gefährdung der Daten führt.
  6. Massenzuweisung: Die API wendet die Eingaben des Nutzers automatisch auf mehrere Eigenschaften an. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um sich beispielsweise zum Administrator zu machen und gleichzeitig eine andere harmlose Eigenschaft seines Nutzerprofils zu aktualisieren.
  7. Falsche Sicherheitskonfiguration: Dies umfasst eine Vielzahl von Fehlern bei der Einrichtung der API, darunter falsch konfigurierte HTTP-Header, unnötige HTTP-Methoden und – wie OWASP es nennt – „ausführliche Fehlermeldungen mit sensiblen Informationen“.
  8. Injektion: Bei einem Injektionsangriff sendet der Angreifer spezielle Befehle an die API, die diese dazu bringen, Daten preiszugeben oder eine andere unerwartete Aktion auszuführen. Erfahren Sie mehr über SQL-Injection.
  9. Unsachgemäße Verwaltung von Assets: Dies tritt auf, wenn es kein Tracking der aktuellen, produktiven APIs und der veralteten APIs gibt, was zu Schatten-APIs führt. APIs sind für dieses Risiko anfällig, weil sie in der Regel so viele Endpunkte zur Verfügung stellen.
  10. Unzureichende Protokollierung und Überwachung: OWASP weist darauf hin, dass Studien zeigen, dass es bis zum Erkennen eines Sicherheitsverstoßes in der Regel über 200 Tage dauert. Detaillierte Ereignisprotokolle und eine genaue Überwachung können API-Entwickler befähigen, Sicherheitsverletzungen viel früher zu erkennen und anzuhalten.

*Stand Dezember 2021, die Liste wurde seit 2019 nicht mehr aktualisiert.

Wenn Sie mehr über diese 10 Sicherheitsrisiken erfahren möchten, besuchen Sie die offizielle Seite von OWASP.

Es gibt einige Überschneidungen zwischen der OWASP Top 10-Liste (vollständige Liste hier) und der OWASP API Security Top 10-Liste. So tauchen zum Beispiel Injektionen, fehlerhafte Authentifizierung und unzureichende Protokollierung und Überwachung in beiden Listen auf. Allerdings sind APIs im Vergleich zu Webanwendungen mit etwas anderen Risiken behaftet. Entwickler sollten beide Listen berücksichtigen.

Wie hilft Cloudflare API Shield bei der Bekämpfung dieser 10 Sicherheitsrisiken?

Cloudflare API Shield verwendet eine mehrschichtige API-Verteidigung, um sich gegen eine Vielzahl von API-gerichteten Angriffen zu schützen. Zu den enthaltenen Features gehören die Prävention von Datenverlust (wirkt den Risiken Nr. 1 und 3 entgegen), mutual TLS (Risiko Nr. 2) und Durchsatzbegrenzung (Risiko Nr. 4). Die vollständige Liste der Features finden Sie auf der Seite Cloudflare API Shield.

Um mehr über API-Sicherheit zu erfahren, lesen Sie Was ist API-Sicherheit?