What is the OWASP (Open Web Application Security Project)?

OWASP is a non-profit organization that promotes web application security by providing free resources, such as security best practices and risk lists, to help organizations secure their applications.

What is the OWASP API Security Top 10?

The OWASP API Security Top 10 is a list of the most critical security risks facing APIs. It helps organizations understand and address common vulnerabilities in API design and implementation.

What does "broken authorization" mean in API security?

"Broken authorization" can refer to a number of OWASP risks for APIs: broken object-level authorization, broken object property-level authorization, and broken function-level authorization. All three of these vulnerabilities can allow attackers to expose or manipulate sensitive data.

What are some examples of API security risks?

Key API risks include unrestricted resource consumption, server-side request forgery (SSRF), and poor API inventory management, all of which can lead to data exposure or service disruption.

What are authentication vulnerabilities in APIs?

Authentication vulnerabilities occur when APIs do not properly verify users, enabling attackers to impersonate legitimate users and gain unauthorized access to sensitive data.

What are third-party API risks?

Third-party API risks can arise when an API interacts with external services. Attackers may target those external services rather than targeting the API directly, especially when the API tends to trust data from those third-party services.

What is Cloudflare API Shield?

Cloudflare API Shield is a solution that helps organizations secure their APIs by providing API discovery, centralized management, monitoring, and layered security defenses.

How does the OWASP API Security Top 10 relate to the OWASP Top 10 for web apps?

Both of these lists categorize common security risks. The OWASP API Security Top 10 is specific to APIs, while the OWASP Top 10 applies to web applications in general. APIs are almost always crucial pieces of a web application's infrastructure, so both lists should be taken into account by security-minded web app developers. There is some overlap in terms of the types of security risks APIs and web apps face, such as issues with broken access control and server-side request forgery, but the implementation of solutions for these risks will be slightly different for APIs and web apps.

What is business flow exploitation in APIs?

Business flow exploitation occurs when attackers abuse legitimate API workflows — like making excessive purchases or reservations — to disrupt business operations.

Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) stellt eine Liste der größten Sicherheitsrisiken für Anwendungsprogrammierschnittstellen (APIs) zusammen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

OWASP API Security Top 10 zusammenfassen
Diese Liste mit der OWASP Top 10 vergleichen

Ähnliche Inhalte

Was ist API-Sicherheit?

Was sind die OWASP Top 10?

Was ist ein API?

Was ist ein API-Aufruf?

Sichere Webanwendungen

Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Link zum Artikel kopieren

Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, deren Ziel es ist, die Sicherheit von Webanwendungen zu fördern. OWASP bietet viele kostenlose Ressourcen für die Entwicklung sicherer Web-Apps.

Eine der meistgenutzten Ressourcen der Organisation ist die OWASP Top 10, in der die zehn größten Sicherheitsprobleme für Webanwendungen aufgeführt sind. OWASP unterhält auch eine separate, ähnliche Liste für App-Programmierschnittstellen (API), die für die meisten Web- und Mobilerfahrungen von entscheidender Bedeutung sind.

API können Unternehmen Wettbewerbsvorteile verschaffen, indem sie Geschäftsdaten liefern, Cloud-Bereitstellungen erleichtern und die Integration von KI-Funktionen ermöglichen. API bringen jedoch auch neue Risiken mit sich, da sie Außenstehenden den Zugriff auf Apps, das Teilen von Daten und die Ausführung potenziell sensibler Workflows ermöglichen.

Diese OWASP API Security Top 10, die zuletzt 2023 veröffentlicht wurden, zeigen die wichtigsten Probleme, die Unternehmen angehen sollten, um ihre API, Anwendungen und Daten besser zu schützen. Die Liste umfasst:

Fehlerhafte Autorisierung auf Objektebene: Angreifer könnten versuchen, API-Endpunkte auszunutzen, die anfällig für eine fehlerhafte Autorisierung auf Objektebene sind. Sie könnten Objektkennungen innerhalb einer Anfrage manipulieren, um unbefugten Zugriff auf vertrauliche Daten zu erhalten.
Fehlerhafte Authentifizierung: Wenn die Authentifizierung fehlerhaft implementiert ist, können sich Angreifer als API-Nutzer ausgeben und Zugriff auf vertrauliche Daten erhalten.
Fehlerhafte Autorisierung auf Ebene der Objekteigenschaft: Fehlende Autorisierung oder unsachgemäße Validierung der Autorisierung auf der Ebene der Objekteigenschaft kann dazu führen, dass Informationen preisgegeben oder anfällig für Manipulationen durch Unbefugte werden.
Unbeschränkter Ressourcenverbrauch: Viele API legen keine Beschränkungen für Client-Interaktionen oder den Ressourcenverbrauch fest. Angreifer könnten ein hohes Volumen an API-Aufrufen generieren, was die Betriebskosten erhöhen und zu einer Dienstverweigerung führen kann.
Fehlerhafte Autorisierung auf Funktionsebene: Ein Angreifer kann einen legitimen API-Aufruf an einen Endpunkt senden, auf den er keinen Zugriff haben sollte. So könnte er Zugriff auf Ressourcen oder Verwaltungsfunktionen anderer Nutzer erhalten.
Uneingeschränkter Zugang zu sensiblen Geschäftsabläufen: Eine API könnte einen Geschäftsablauf offenlegen (z. B. das Posten eines Kommentars auf einer Website, den Kauf eines Produkts oder die Vornahme einer Reservierung) und es einem Angreifer ermöglichen, diesen Ablauf exzessiv auszuführen.
Serverseitige Anfragefälschung: Eine API kann eine Remote-Ressource abrufen, ohne die vom Nutzer angegebene URL zu validieren. Beispielsweise könnte ein Nutzer eine URL angeben, um ein Bild auf eine Social-Media-Plattform hochzuladen. Diese URL könnte dann einen Portscan innerhalb eines internen Netzwerks auslösen.
Unzureichende Bestandsverwaltung: API kann mehr Endpunkte offenlegen als herkömmliche Webanwendungen. Wenn Unternehmen keine Bestandsaufnahme der Hosts und der bereitgestellten API-Versionen durchführen, können veraltete API-Versionen und Endpunkte ungeschützt bleiben.
Unsichere API-Nutzung: Angreifer können Dienste von Drittanbietern ins Visier nehmen, die mit der API interagieren, anstatt die API direkt anzugreifen. Sie wissen, dass Entwickler Daten von Drittanbieter-API oft mehr vertrauen als Nutzereingaben.

Weitere Informationen über diese zehn Sicherheitsrisiken finden Sie auf der offiziellen Seite von OWASP .

Es gibt einige Überschneidungen zwischen der OWASP Top 10-Liste (vollständige Liste hier) und der OWASP API Security Top 10-Liste. So steht beispielsweise eine fehlerhafte Zugriffskontrolle an erster Stelle der OWASP Top 10-Liste und unter den ersten fünf Sicherheitsproblemen in der API-Liste finden sich verschiedene Formen fehlerhafter Authentifizierung und Autorisierung. Darüber hinaus erscheinen auf beiden Listen auch Sicherheitsfehlkonfigurationen und serverseitige Anfragefälschung.

Allerdings bergen API im Vergleich zu Web-Apps einige andere Risiken. Entwickler sollten daher beide Listen berücksichtigen.

Wie hilft Cloudflare bei der Bewältigung von API-Sicherheitsrisiken?

Cloudflare API Shield stellt sicher, dass APIs sicher sind und wie vorgesehen funktionieren: Durch API-Erkennungsfunktionen, zentralisierte API-Verwaltung und -Überwachung sowie innovative, mehrschichtige Schutzmaßnahmen. API Shield ist Teil des Cloudflare-Portfolios für Anwendungssicherheit, die zusätzliche Funktionen bietet, um Bot-, DDoS und App-Angriffe zu stoppen und gleichzeitig nach Supply-Chain-Angriffen Ausschau zu halten.

Erfahren Sie, wie die Cloudflare-Funktionen die spezifischen Risiken angehen, die in den OWASP API Security Top 10 aufgeführt sind. Und lernen Sie weitere API-Sicherheitslösungen von Cloudflare kennen.

FAQs

Was ist das OWASP (Open Web Application Security Project)?

OWASP ist eine gemeinnützige Organisation, die die Sicherheit von Webanwendungen fördert, indem sie kostenlose Ressourcen wie bewährte Sicherheitspraktiken und Risikolisten bereitstellt, um Organisationen dabei zu unterstützen, ihre Anwendungen zu sichern.

Was ist die OWASP API Security Top 10?

Die OWASP API Security Top 10 ist eine Liste der kritischsten Sicherheitsrisiken für APIs. Es hilft Organisationen, häufige Schwachstellen im Design und in der Implementierung von APIs zu verstehen und zu beheben.

Was bedeutet „fehlerhafte Autorisierung“ (broken authorization) in der API-Sicherheit?

„Fehlerhafte Autorisierung“ kann sich auf verschiedene OWASP-Risiken für APIs beziehen: fehlerhafte Autorisierung auf Objektebene, fehlerhafte Autorisierung auf Objekteigenschaftsebene und fehlerhafte Autorisierung auf Funktionsebene. Alle drei dieser Schwachstellen können Angreifern ermöglichen, sensible Daten offenzulegen oder zu manipulieren.

Was sind einige Beispiele für API-Sicherheitsrisiken?

Zu den wichtigsten API-Risiken zählen der uneingeschränkte Ressourcenverbrauch, die serverseitige Anfragefälschung (SSRF) und eine unzureichende API-Bestandsverwaltung, die alle zur Offenlegung von Daten oder Dienstunterbrechung führen können.

Was sind die Schwachstellen bei der Authentifizierung in APIs?

Authentifizierungs-Schwachstellen treten auf, wenn APIs Benutzer nicht ordnungsgemäß verifizieren, was es Angreifern ermöglicht, sich als legitime Benutzer auszugeben und unbefugten Zugriff auf sensible Daten zu erlangen.

Was sind API-Risiken von Drittanbietern?

Wenn eine API mit externen Diensten interagiert, können Drittanbieter-API-Risiken entstehen. Angreifer könnten diese externen Dienste ins Visier nehmen, anstatt die API direkt anzugreifen, insbesondere wenn die API dazu neigt, den Daten dieser Drittanbieter-Dienste zu vertrauen.

Was ist Cloudflare API Shield?

Cloudflare API Shield ist eine Lösung, die Organisationen dabei unterstützt, ihre APIs zu sichern, indem es API-Erkennung, zentralisierte Verwaltung, Überwachung und mehrschichtige Sicherheitsvorkehrungen bietet.

Wie hängen die OWASP API Security Top 10 mit den OWASP Top 10 für Webanwendungen zusammen?

Beide dieser Listen kategorisieren gängige Sicherheitsrisiken. Die OWASP API Security Top 10 sind spezifisch für APIs, während die OWASP Top 10 im Allgemeinen für Webanwendungen gelten. APIs sind fast immer entscheidende Bestandteile der Infrastruktur einer Webanwendung, daher sollten sicherheitsbewusste Webentwickler beide Listen berücksichtigen. Es gibt einige Überschneidungen bei den Arten von Sicherheitsrisiken, denen APIs und Webanwendungen ausgesetzt sind, wie z. B. Probleme mit fehlerhafter Zugriffskontrolle und serverseitiger Anfragefälschung, aber die Implementierung von Lösungen für diese Risiken wird bei APIs und Webanwendungen leicht unterschiedlich sein.

Was bedeutet die Ausnutzung von Geschäftsabläufen in APIs?

Die Ausnutzung von Geschäftsabläufen tritt auf, wenn Angreifer legitime API-Workflows missbrauchen – z. B. durch übermäßige Käufe oder Reservierungen –, um den Geschäftsbetrieb zu stören.

Erste Schritte

Über Web Application Security

Häufige Bedrohungen

VPN-Ressourcen

Glossar zu Sicherheit

Navigation Infocenter