L'Open Web Application Security Project (OWASP) mette insieme un elenco dei maggiori rischi per la sicurezza per le interfacce di programmazione delle applicazioni (API).
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è la sicurezza delle API?
Cos'è la Top 10 OWASP?
Cos'è un'API?
Cos'è una chiamata API?
Cos'è la sicurezza delle applicazioni Web?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
The Open Web Application Security Project (OWASP) è un'organizzazione senza scopo di lucro il cui obiettivo è promuovere la sicurezza delle applicazioni Web. OWASP offre molte risorse gratuite per la creazione di un'applicazione Web più sicura.
Una delle risorse più referenziate dell'organizzazione è la Top 10 OWASP, che elenca i principali 10 problemi di sicurezza per le applicazioni Web. OWASP gestisce anche un elenco separato e simile per le interfacce di programmazione delle applicazioni (API), che sono fondamentali per alimentare la maggior parte delle esperienze Web e mobili.
Le API possono generare vantaggi competitivi per le aziende fornendo business intelligence, facilitando le distribuzioni cloud e consentendo l'integrazione delle funzionalità di intelligenza artificiale. Allo stesso tempo, tuttavia, possono introdurre nuovi rischi, consentendo a soggetti esterni di accedere alle applicazioni, condividere dati ed eseguire flussi di lavoro potenzialmente sensibili.
Questa classifica Top 10 per la sicurezza delle API di OWASP, pubblicata più di recente nel 2023, evidenzia i problemi fondamentali che le organizzazioni devono affrontare per proteggere al meglio API, applicazioni e dati. L'elenco include:
Per saperne di più su questi 10 rischi per la sicurezza, consulta la pagina ufficiale di OWASP.
Esiste una certa sovrapposizione tra l'elenco Top 10 di OWASP (elenco completo qui) e l'elenco Top 10 per la sicurezza delle API OWASP. Ad esempio, il controllo degli accessi interrotto è il primo problema nell'elenco Top 10 OWASP e ci sono varie forme di autenticazione e autorizzazione interrotte tra i primi cinque problemi di sicurezza nell'elenco di API. Inoltre, in entrambi gli elenchi compaiono errori di configurazione della sicurezza e falsificazione delle richieste lato server.
Tuttavia, le API presentano diversi rischi distinti rispetto alle applicazioni Web. Gli sviluppatori dovrebbero prendere in considerazione entrambi gli elenchi.
Cloudflare API Shield contribuisce a mantenere le API sicure e funzionanti attraverso funzionalità di individuazione, gestione e monitoraggio centralizzati, e grazie a sistemi di protezione distribuiti su più livelli. API Shield fa parte della gamma di soluzioni per la sicurezza delle applicazioni di Cloudflare, che offre funzionalità aggiuntive per fermare bot, attacchi DDoS e attacchi alle applicazioni, monitorando al contempo gli attacchi alla catena di fornitura.
Scopri come le funzionalità di Cloudflare affrontano le problematiche specifiche descritte in dettaglio nella Top 10 per la sicurezza delle API OWASP. Ed esplora altre soluzioni di sicurezza delle API di Cloudflare.
OWASP è un'organizzazione senza scopo di lucro che promuove la sicurezza delle applicazioni web fornendo risorse gratuite, come best practice di sicurezza ed elenchi di rischi, in modo da aiutare le organizzazioni a proteggere le proprie applicazioni.
La OWASP API Security Top 10 è una lista dei rischi più pericolosi per la sicurezza delle API. La lista aiuta le organizzazioni a comprendere e affrontare le vulnerabilità più diffuse che si riscontrano nella fase di progettazione e implementazione delle API.
Il termine "broken authorization", traducibile con "mancata autorizzazione" può riferirsi a diversi rischi della lista OWASP: mancata autorizzazione a livello di oggetto, mancata autorizzazione a livello di proprietà dell'oggetto, e mancata autorizzazione a livello di funzione. Tutte e tre queste vulnerabilità possono consentire a eventuali aggressori di esporre o manipolare dati sensibili.
I principali rischi includono il consumo illimitato di risorse, il Server-Side Request Forgery (SSRF) e una gestione insufficiente dell'inventario API, tutti elementi che possono causare l'esposizione di dati o interruzioni di servizio.
Le vulnerabilità di autenticazione si verificano quando le API non verificano correttamente gli utenti, consentendo a eventuali aggressori di impersonare utenti legittimi e ottenere l'accesso non autorizzato a dati sensibili.
Quando un'API interagisce con servizi esterni, possono insorgere dei rischi connessi a queste parti terze. Gli aggressori possono prendere di mira servizi esterni invece di attaccare direttamente l'API, specialmente quando quest'ultima tende a fidarsi dei dati provenienti da servizi di terze parti.
Cloudflare API Shield è una soluzione che aiuta le organizzazioni a proteggere le proprie API, offrendo funzionalità di rilevamento, gestione centralizzata, monitoraggio e difese di sicurezza multilivello.
Entrambi questi elenchi classificano dei rischi alla sicurezza molto comuni. La OWASP API Security Top 10 è specifica per le API, mentre OWASP Top 10 riguarda più in generale le applicazioni web. Le API sono quasi sempre elementi cruciali dell'infrastruttura di un'applicazione, pertanto entrambe le liste devono essere tenute in debito conto dagli sviluppatori attenti all'aspetto della sicurezza. Tra le tipologie di rischi che le applicazioni web e le API si trovano ad affrontare esiste un certo grado di sovrapposizione, come problemi relativi al mancato controllo degli accessi e la contraffazione delle richieste sul lato server, ma per le API e le applicazioni l'implementazione di soluzioni atte a ovviare a questi rischi è leggermente diversa.
Questo fenomeno si verifica quando degli aggressori sfruttano i workflow legittimi di un'API per far saltare le normali operazioni commerciali di un'azienda. Ad esempio, può avvenire sotto forma di acquisti eccessivi di prodotti o con l'effettuazione di un numero abnorme di prenotazioni.