Cos'è la Top 10 di sicurezza API OWASP?

Cos'è la Top 10 di sicurezza API OWASP?

The Open Web Application Security Project (OWASP) è un'organizzazione senza scopo di lucro il cui obiettivo è promuovere la sicurezza delle applicazioni Web. OWASP offre molte risorse gratuite per la creazione di un'applicazione Web più sicura.

Una delle risorse più referenziate dell'organizzazione è la Top 10 OWASP, che elenca i principali 10 problemi di sicurezza per le applicazioni Web. OWASP gestisce anche un elenco separato e simile per le interfacce di programmazione delle applicazioni (API), che sono fondamentali per alimentare la maggior parte delle esperienze Web e mobili.

Le API possono generare vantaggi competitivi per le aziende fornendo business intelligence, facilitando le distribuzioni cloud e consentendo l'integrazione delle funzionalità di intelligenza artificiale. Ma allo stesso tempo possono introdurre nuovi rischi consentendo a soggetti esterni di accedere alle applicazioni, condividere dati ed eseguire flussi di lavoro potenzialmente sensibili.

Questa classifica Top 10 per la sicurezza delle API di OWASP, pubblicata più di recente nel 2023, evidenzia i problemi chiave che le organizzazioni dovrebbero affrontare per proteggere al meglio le proprie API, applicazioni e dati. L'elenco include:

1. Autorizzazione interrotta a livello di oggetto: gli autori di attacchi potrebbero provare a sfruttare gli endpoint API vulnerabili all'autorizzazione interrotta a livello di oggetto. Potrebbero manipolare gli identificatori degli oggetti all'interno di una richiesta per ottenere l'accesso non autorizzato a dati sensibili.
2. Autenticazione interrotta: se l'autenticazione viene implementata in modo errato, gli autori di attacchi potrebbero impersonare gli utenti delle API e ottenere l'accesso a dati riservati.
3. Autorizzazione interrotta a livello di proprietà oggetti: una mancanza di autorizzazione o una convalida dell'autorizzazione non corretta a livello di proprietà dell'oggetto potrebbe esporre le informazioni o renderle vulnerabili alla manipolazione da parte di persone non autorizzate.
4. Consumo illimitato di risorse: molte API non limitano le interazioni client o il consumo di risorse. Gli autori di attacchi potrebbero generare un volume elevato di richieste API, che può aumentare i costi operativi e portare a un denial of service.
5. Autorizzazione interrotta a livello di funzione: gli autori di attacchi potrebbero inviare chiamate API legittime a un endpoint a cui non dovrebbero essere in grado di accedere. Potrebbero ottenere l'accesso alle risorse o alle funzioni amministrative di altri utenti.
6. Accesso illimitato ai flussi aziendali sensibili: le API potrebbero esporre un flusso aziendale (come pubblicare un commento su un sito Web, acquistare un prodotto o effettuare una prenotazione), consentendo ai malintenzionati di eseguire tale flusso in modo eccessivo.
7. Falsificazione della richiesta lato server: un'API potrebbe recuperare una risorsa remota senza convalidare l'URL fornito dall'utente. Ad esempio, un utente potrebbe fornire un URL per caricare un'immagine su una piattaforma di social media. Tale URL potrebbe quindi avviare una scansione delle porte all'interno di una rete interna.
8. Gestione impropria dell'inventario: le API possono esporre più endpoint rispetto alle applicazioni Web tradizionali. Se le organizzazioni non effettuano l'inventario degli host e delle versioni delle API distribuite, potrebbero lasciare vulnerabili le versioni API e gli endpoint obsoleti.
9. Utilizzo non sicuro delle API: gli autori di attacchi potrebbero prendere di mira servizi di terze parti che interagiscono con le API anziché colpire direttamente un'API. Si rendono conto che spesso gli sviluppatori si fidano più dei dati provenienti da API di terze parti che dell'input degli utenti.

Per saperne di più su questi 10 rischi per la sicurezza, consulta la pagina ufficiale di OWASP.

Esiste una certa sovrapposizione tra l'elenco Top 10 di OWASP (elenco completo qui) e l'elenco Top 10 per la sicurezza delle API OWASP. Ad esempio, il controllo degli accessi interrotto è il primo problema nell'elenco Top 10 OWASP e ci sono varie forme di autenticazione e autorizzazione interrotte tra i primi cinque problemi di sicurezza nell'elenco di API. Inoltre, in entrambi gli elenchi compaiono errori di configurazione della sicurezza e falsificazione delle richieste lato server.

Tuttavia, le API presentano diversi rischi distinti rispetto alle applicazioni Web. Gli sviluppatori dovrebbero prendere in considerazione entrambi gli elenchi.

In che modo Cloudflare aiuta ad affrontare i rischi per la sicurezza delle API?

Cloudflare API Shield contribuisce a mantenere le API sicure e funzionanti come dovrebbero attraverso funzionalità di individuazione delle API, gestione e monitoraggio centralizzati delle API e difese innovative a più livelli. API Shield fa parte del portafoglio di sicurezza delle applicazioni di Cloudflare, che offre funzionalità aggiuntive per fermare bot, attacchi DDoS e attacchi alle applicazioni, monitorando al contempo gli attacchi alla supply chain.

Scopri come le funzionalità di Cloudflare affrontano le problematiche specifiche descritte in dettaglio nella Top 10 per la sicurezza delle API OWASP. Ed esplora altre soluzioni di sicurezza delle API di Cloudflare.