Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

L'Open Web Application Security Project (OWASP) a dressé une liste des principaux risques de sécurité pour les interfaces de programmation d'applications (API).

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Résumer le Top 10 de la sécurité des API de l'OWASP
  • Comparez cette liste avec le Top 10 de l'OWASP.

Copier le lien de l'article

Qu'est-ce que le Top 10 OWASP des risques liés aux API ?

L'Open Web Application Security Project (OWASP) est une organisation à but non lucratif dont l'objectif est de promouvoir la sécurité des applications web. L'OWASP propose de nombreuses ressources gratuites à tous ceux qui souhaitent créer une application web sécurisée.

L'une de leurs ressources les plus largement référencées est le OWASP Top 10, qui répertorie les dix plus grands problèmes de sécurité pour les applications web.

L'OWASP tient également à jour une liste distincte et similaire pour les interfaces de programmation d'applications (API), qui constituent un élément essentiel de la plupart des applications web. Cette liste est le Top 10 de la sécurité des API de l'OWASP.

En 2019*, le Top 10 de la sécurité des API de l'OWASP comprend :

  1. Broken Object Level Authorization : il s'agit de la manipulation d'identifiants d'objets dans une requête pour obtenir un accès non autorisé à des données sensibles. Les attaquants accèdent à des objets (données) auxquels ils ne devraient pas avoir accès, en modifiant simplement les identifiants.
  2. Authentification utilisateur défaillante : si l'authentification est mise en œuvre de manière incorrecte, les attaquants peuvent être en mesure de se faire passer pour des utilisateurs d'API, ce qui leur permet d'accéder à des données confidentielles.
  3. Exposition excessive des données : de nombreuses API se trompent en exposant les données et en comptant sur l'utilisateur de l'API pour les filtrer correctement. Cela peut permettre à des personnes non autorisées de visualiser les données.
  4. Manque de ressources & Limitation du débit : par défaut, de nombreuses API ne limitent pas le nombre ou la taille des demandes qu'elles peuvent recevoir à un moment donné. Cela les rend vulnérables aux attaques par déni de service (DoS).
  5. Autorisation de niveau de fonction brisée : ce risque est lié à l'autorisation. Les utilisateurs de l'API peuvent être autorisés à en faire trop, ce qui entraîne une exposition des données.
  6. Attribution de masse : l'API applique automatiquement les entrées de l'utilisateur à plusieurs propriétés. Un attaquant pourrait utiliser cette vulnérabilité pour, par exemple, se changer en administrateur tout en mettant à jour une autre propriété inoffensive de son profil d'utilisateur.
  7. Mauvaise configuration de la sécurité : Ccela couvre une variété d'erreurs dans la configuration de l'API, y compris des en-têtes HTTP mal configurés, des méthodes HTTP inutiles et ce que l'OWASP appelle « des messages d'erreur verbeux contenant des informations sensibles. »
  8. Injection : dans une attaque par injection, l'attaquant envoie des commandes spécialisées à l'API pour l'inciter à révéler des données ou à exécuter une autre action inattendue. En savoir plus sur l'injection SQL :.
  9. Mauvaise gestion des actifs : Cela se produit lorsqu'il n'y a pas de suivi des API de production actuelles et de celles qui ont été dépréciées, ce qui conduit à des API fantômes. Les API sont vulnérables à ce risque car elles ont tendance à mettre à disposition un grand nombre de points de terminaison.
  10. Consignation insuffisante & Surveillance : l'OWASP note que des études montrent qu'il faut généralement plus de 200 jours pour détecter une violation. Une journalisation détaillée des événements et une surveillance étroite peuvent permettre aux développeurs d'API de détecter et d'arrêter les brèches bien plus tôt.

*En décembre 2021, la liste n'avait pas été mise à jour depuis 2019.

Pour en savoir plus sur ces 10 risques de sécurité, consultez la page officielle de l'OWASP.

Il existe des recoupements entre la liste du Top 10 de l'OWASP (liste complète ici) et la liste du Top 10 de la sécurité des API de l'OWASP. Par exemple, l'injection, la rupture d'authentification et l'insuffisance de journalisation et de surveillance apparaissent dans les deux listes. Toutefois, les API présentent des risques légèrement différents de ceux des applications Web. Les développeurs doivent tenir compte des deux listes.

Comment Cloudflare API Shield aide-t-il à combattre ces 10 risques de sécurité ?

Cloudflare API Shield utilise des défenses API en couches pour se protéger contre une variété d'attaques dirigées vers l'API. Parmi les fonctionnalités incluses, citons la prévention des pertes de données (contre les risques n° 1 et 3), le TLS mutuel (risque n° 2) et la limitation du débit (risque n° 4). Consultez la liste complète des fonctionnalités sur la page Cloudflare API Shield.

Pour en savoir plus sur la sécurité des API, lisez « Qu'est-ce que la sécurité des API ? » ?

Service commercial