L'Open Web Application Security Project (OWASP) a dressé une liste des principaux risques de sécurité pour les interfaces de programmation d'applications (API).
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des API ?
Qu'est-ce que le classement OWASP Top 10 ?
Qu'est-ce qu'une API ?
Qu'est-ce qu'un appel d'API ?
Qu'est-ce que la sécurité des applications web ?
Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !
Copier le lien de l'article
Open Web Application Security Project (OWASP) est une organisation à but non lucratif dont l'objectif est de promouvoir la sécurité des applications web. OWASP propose de nombreuses ressources gratuites afin d'encourager le développement d'applications web plus sécurisées.
L'une des ressources les plus fréquemment consultées de l'organisation est le classement OWASP Top 10, qui répertorie les 10 principales préoccupations en matière de sécurité des applications web. OWASP propose également une liste distincte, mais similaire, consacrée aux interfaces de programmation d'applications (API), sur lesquelles reposent la plupart des expériences web et mobiles.
Les API peuvent permettre de consolider les avantages concurrentiels des entreprises en leur fournissant des données d'information décisionnelle, en facilitant les déploiements de cloud et en permettant l'intégration de fonctionnalités d'IA. Cependant, elles peuvent également introduire de nouveaux risques en permettant à des personnes extérieures d'accéder aux applications, de partager des données et d'exécuter des flux de travail potentiellement sensibles.
Le classement OWASP Top 10 des risques liés aux API, dont l'édition la plus récente a été publiée en 2023, met en évidence les principaux problèmes auxquels les entreprises doivent remédier afin de mieux protéger leurs API, leurs applications et leurs données. La liste comprend les risques suivants :
Pour en apprendre davantage sur ces 10 risques de sécurité, consultez la page officielle d'OWASP.
Il existe une certaine convergence entre la liste OWASP Top 10 (cliquez ici pour consulter la liste complète) et la liste OWASP API Security Top 10. Par exemple, la violation des contrôles d'accès est la première menace sur la liste OWASP Top 10, et il existe différentes formes de failles d'authentification et d'autorisation parmi les cinq premières préoccupations en matière de sécurité de la liste API Security. Par ailleurs, les configurations incorrectes de la sécurité et la falsification de requêtes côté serveur figurent sur les deux listes.
Cependant, les API comportent plusieurs risques distincts par rapport aux applications web, et les développeurs devraient tenir compte des deux listes.
Cloudflare API Gateway contribue à préserver la sécurité et le bon fonctionnement des API grâce à des fonctionnalités d'identification, de gestion et de surveillance centralisées des API, ainsi qu'à des défenses multicouches innovantes. API Shield fait partie du portefeuille de solutions de sécurité des applications de Cloudflare, qui propose des fonctionnalités supplémentaires permettant d'arrêter les bots et de déjouer les attaques DDoS et les attaques contre les applications, tout en surveillant les attaques contre la chaîne logistique.
Découvrez de quelle manière les fonctionnalités de Cloudflare permettent de répondre aux risques spécifiques détaillés dans le classement OWASP API Security Top 10. Découvrez d'autres solutions de sécurité des API de Cloudflare.
L'OWASP est une organisation à but non lucratif qui oeuvre en faveur de la sécurité des applications web en fournissant des ressources gratuites, par exemple des pratiques recommandées, la liste des risques, destinées à aider les organisations à sécuriser leurs applications.
Le Top 10 de l'OWASP en matière est une liste des risques de sécurité les plus critiques auxquels les API sont confrontées. Il aide les organisations à comprendre et à remédier aux vulnérabilités courantes dans la conception et la mise en œuvre des API.
La « violation de l'autorisation » peut désigner plusieurs risques OWASP pour les API : violation de l'autorisation au niveau de l'objet, violation de l'autorisation au niveau de la propriété de l'objet et violation de l'autorisation au niveau de la fonction. À la faveur de ces trois vulnérabilités, les attaquants peuvent exposer ou de manipuler des données sensibles.
Les principaux risques liés aux API concernent la consommation illimitée de ressources, la falsification de requêtes côté serveur (SSRF) et une mauvaise gestion de l'inventaire des API, autant d'éléments qui peuvent entraîner une exposition des données ou une interruption des services.
Les vulnérabilités d'authentification se produisent lorsque les API ne vérifient pas correctement les utilisateurs, ce qui permet aux attaquants d'usurper l'identité d'utilisateurs légitimes et d'accéder sans autorisation à des données sensibles.
Les risques liés aux API tierces peuvent survenir lorsqu'une API interagit avec des services externes. Les attaquants peuvent cibler ces services externes au lieu de cibler directement l'API, surtout lorsque l'API a tendance à faire confiance aux données de ces services tiers.
La solution Cloudflare API Shield aide les organisations à sécuriser leurs API en proposant l'identification des API, la gestion centralisée, la surveillance et des défenses de sécurité en couches.
Ces deux listes classent les risques de sécurité courants. Le Top 10 de l'OWASP en matière de sécurité des API est spécifique aux API, tandis que le Top 10 de l'OWASP s'applique aux applications web en général. Les API sont presque toujours des éléments essentiels de l'infrastructure d'une application web, donc les deux listes devraient être prises en compte par les développeurs d'applications web soucieux de la sécurité. Il existe un certain recoupement entre les types de risques de sécurité auxquels les API et les applications web sont confrontées, tels que les problèmes de contrôle d'accès défaillant et de falsification de requêtes côté serveur, mais la mise en œuvre des solutions pour ces risques sera légèrement différente pour les API et les applications web.
L’exploitation des flux de processus métier se produit lorsque des attaquants abusent des flux de travaux légitimes des API, en lançant des achats ou des réservations en quantité excessive par exemple, pour perturber les opérations métier.