Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) stellt eine Liste der größten Sicherheitsrisiken für Anwendungsprogrammierschnittstellen (APIs) zusammen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • OWASP API Security Top 10 zusammenfassen
  • Diese Liste mit der OWASP Top 10 vergleichen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist die OWASP API Security Top 10?

Das Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, deren Ziel es ist, die Sicherheit von Webanwendungen zu fördern. OWASP bietet viele kostenlose Ressourcen für die Entwicklung sicherer Web-Apps.

Eine der meistgenutzten Ressourcen der Organisation ist die OWASP Top 10, in der die zehn größten Sicherheitsprobleme für Webanwendungen aufgeführt sind. OWASP unterhält auch eine separate, ähnliche Liste für App-Programmierschnittstellen (API), die für die meisten Web- und Mobilerfahrungen von entscheidender Bedeutung sind.

API können Unternehmen Wettbewerbsvorteile verschaffen, indem sie Geschäftsdaten liefern, Cloud-Bereitstellungen erleichtern und die Integration von KI-Funktionen ermöglichen. API bringen jedoch auch neue Risiken mit sich, da sie Außenstehenden den Zugriff auf Apps, das Teilen von Daten und die Ausführung potenziell sensibler Workflows ermöglichen.

Diese OWASP API Security Top 10, die zuletzt 2023 veröffentlicht wurden, zeigen die wichtigsten Probleme, die Unternehmen angehen sollten, um ihre API, Anwendungen und Daten besser zu schützen. Die Liste umfasst:

  1. Fehlerhafte Autorisierung auf Objektebene: Angreifer könnten versuchen, API-Endpunkte auszunutzen, die anfällig für eine fehlerhafte Autorisierung auf Objektebene sind. Sie könnten Objektkennungen innerhalb einer Anfrage manipulieren, um unbefugten Zugriff auf vertrauliche Daten zu erhalten.
  2. Fehlerhafte Authentifizierung: Wenn die Authentifizierung fehlerhaft implementiert ist, können sich Angreifer als API-Nutzer ausgeben und Zugriff auf vertrauliche Daten erhalten.
  3. Fehlerhafte Autorisierung auf Ebene der Objekteigenschaft: Fehlende Autorisierung oder unsachgemäße Validierung der Autorisierung auf der Ebene der Objekteigenschaft kann dazu führen, dass Informationen preisgegeben oder anfällig für Manipulationen durch Unbefugte werden.
  4. Unbeschränkter Ressourcenverbrauch: Viele API legen keine Beschränkungen für Client-Interaktionen oder den Ressourcenverbrauch fest. Angreifer könnten ein hohes Volumen an API-Aufrufen generieren, was die Betriebskosten erhöhen und zu einer Dienstverweigerung führen kann.
  5. Fehlerhafte Autorisierung auf Funktionsebene: Ein Angreifer kann einen legitimen API-Aufruf an einen Endpunkt senden, auf den er keinen Zugriff haben sollte. So könnte er Zugriff auf Ressourcen oder Verwaltungsfunktionen anderer Nutzer erhalten.
  6. Uneingeschränkter Zugang zu sensiblen Geschäftsabläufen: Eine API könnte einen Geschäftsablauf offenlegen (z. B. das Posten eines Kommentars auf einer Website, den Kauf eines Produkts oder die Vornahme einer Reservierung) und es einem Angreifer ermöglichen, diesen Ablauf exzessiv auszuführen.
  7. Serverseitige Anfragefälschung: Eine API kann eine Remote-Ressource abrufen, ohne die vom Nutzer angegebene URL zu validieren. Beispielsweise könnte ein Nutzer eine URL angeben, um ein Bild auf eine Social-Media-Plattform hochzuladen. Diese URL könnte dann einen Portscan innerhalb eines internen Netzwerks auslösen.
  8. Unzureichende Bestandsverwaltung: API kann mehr Endpunkte offenlegen als herkömmliche Webanwendungen. Wenn Unternehmen keine Bestandsaufnahme der Hosts und der bereitgestellten API-Versionen durchführen, können veraltete API-Versionen und Endpunkte ungeschützt bleiben.
  9. Unsichere API-Nutzung: Angreifer können Dienste von Drittanbietern ins Visier nehmen, die mit der API interagieren, anstatt die API direkt anzugreifen. Sie wissen, dass Entwickler Daten von Drittanbieter-API oft mehr vertrauen als Nutzereingaben.
  10. Weitere Informationen über diese zehn Sicherheitsrisiken finden Sie auf der offiziellen Seite von OWASP .

    Es gibt einige Überschneidungen zwischen der OWASP Top 10-Liste (vollständige Liste hier) und der OWASP API Security Top 10-Liste. So steht beispielsweise eine fehlerhafte Zugriffskontrolle an erster Stelle der OWASP Top 10-Liste und unter den ersten fünf Sicherheitsproblemen in der API-Liste finden sich verschiedene Formen fehlerhafter Authentifizierung und Autorisierung. Darüber hinaus erscheinen auf beiden Listen auch Sicherheitsfehlkonfigurationen und serverseitige Anfragefälschung.

    Allerdings bergen API im Vergleich zu Web-Apps einige andere Risiken. Entwickler sollten daher beide Listen berücksichtigen.

    Wie hilft Cloudflare bei der Bewältigung von API-Sicherheitsrisiken?

    Cloudflare API Gateway stellt sicher, dass API sicher sind und wie vorgesehen funktionieren: Durch API-Erkennungsfunktionen, zentralisierte API-Verwaltung und -Überwachung sowie innovative, mehrschichtige Schutzmaßnahmen. API Gateway ist Teil des Cloudflare-Portfolios für Anwendungssicherheit, die zusätzliche Funktionen bietet, um Bot-, DDoS und App-Angriffe zu stoppen und gleichzeitig nach Supply-Chain-Angriffen Ausschau zu halten.

    Erfahren Sie, wie die Cloudflare-Funktionen die spezifischen Risiken angehen, die in den OWASP API Security Top 10 aufgeführt sind. Und lernen Sie weitere API-Sicherheitslösungen von Cloudflare kennen.