¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

El Open Web Application Security Project (OWASP) elabora una lista de los mayores riesgos de seguridad para las interfaces de programación de aplicaciones (API).

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Resumir el OWASP API Security Top 10
  • Comparar esta lista con el OWASP Top 10

Copiar enlace del artículo

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

Open Web Application Security Project (OWASP) es una organización sin ánimo de lucro cuyo objetivo es promover la seguridad de las aplicaciones web. El OWASP ofrece muchos recursos gratuitos a cualquiera que quiera desarrollar una aplicación web segura.

Uno de sus recursos más referenciados es el OWASP Top 10, que enumera los 10 mayores problemas de seguridad de las aplicaciones web.

OWASP también mantiene una lista separada y similar para interfaces de programación de aplicaciones (API), que son un bloque de desarrollo fundamental para la mayoría de las aplicaciones web. Esta lista es la OWASP API Security Top 10.

A partir de 2019*, el OWASP API Security Top 10 incluye:

  1. Autorización a nivel de objeto sin función: hace referencia a la manipulación de los identificadores de los objetos en una solicitud para obtener acceso no autorizado a datos confidenciales. Los atacantes acceden a objetos (datos) a los que no deberían tener acceso, con simplemente cambiar los identificadores.
  2. Autenticación de usuario sin función: si la autenticación se implementa de forma incorrecta, los atacantes pueden ser capaces de suplantar a los usuarios de la API, lo que les permite acceder a datos confidenciales.
  3. Exposición excesiva de datos: muchas API exponen demasiado los datos y cuentan con que el usuario de la API los filtre adecuadamente. Esto podría permitir que personas no autorizadas vean los datos.
  4. Falta de recursos y limitación de velocidad: por defecto, muchas API no limitan el número o el tamaño de las solicitudes que pueden recibir en un momento dado. Esto las deja expuestas a ataques de denegación de servicio (DoS).
  5. Autorización a nivel de función sin función: este riesgo tiene que ver con la autorización. Los usuarios de la API pueden estar autorizados a hacer demasiadas cosas, lo cual puede provocar la exposición de los datos.
  6. Asignación masiva: la API aplica automáticamente las entradas del usuario a múltiples propiedades. Por ejemplo, un atacante podría utilizar esta vulnerabilidad para declararse administrador mientras actualiza alguna otra propiedad inocua de su perfil de usuario.
  7. Mala configuración de la seguridad: esto incluye una variedad de errores en la configuración de la API, incluyendo encabezados HTTP mal configurados, métodos HTTP innecesarios y lo que OWASP llama "mensajes de error ampulosos que contienen información confidencial."
  8. Inyección: en un ataque de inyección, el atacante envía comandos especializados a la API que la engañan para que revele datos o ejecute alguna otra acción inesperada. Más información sobre la inyección SQL.
  9. Gestión de activos inadecuada: esto se produce cuando no hay un seguimiento tanto de las API actuales y de producción como de las que han quedado obsoletas, lo cual genera shadow API. Las API son vulnerables a este riesgo porque tienden a poner a disposición muchos puntos de conexión.
  10. Registro y supervisión insuficiente: OWASP señala que los estudios muestran que se suele tardar más de 200 días en detectar una fuga. Un registro detallado de eventos y una estrecha supervisión pueden permitir que los desarrolladores de API detecten y detengan las fugas mucho antes.

*En diciembre de 2021, la lista no se había actualizado desde 2019.

Para leer más sobre estos 10 riesgos de seguridad, consulta la página oficial de OWASP.

Hay algunas coincidencias entre la lista OWASP Top 10 (lista completa aquí) y la lista OWASP API security top 10. Por ejemplo, la inyección, la autenticación sin función, y el registro y la supervisión insuficientes aparecen en ambas. Sin embargo, las API presentan riesgos ligeramente diferentes en comparación con las aplicaciones web. Los desarrolladores deben tener en cuenta ambas listas.

¿Cómo ayuda Cloudflare API Shield a combatir estos 10 riesgos de seguridad?

Cloudflare API Shield utiliza defensas de API en capas para proteger contra una variedad de ataques dirigidos a la API. Entre las funciones incluidas se encuentran prevención de pérdida de datos (contrarresta los riesgos n.º 1 y n.º 3), TLS mutuo (riesgo n.º 2), y limitación de velocidad (riesgo n.º 4). Consulta la lista completa de funciones en la página de Cloudflare API Shield.

Para más información sobre la seguridad de la API, lee ¿Qué es la seguridad de la API?

Ventas