Cos'è la Top 10 di sicurezza API OWASP?

L'Open Web Application Security Project (OWASP) mette insieme un elenco dei maggiori rischi per la sicurezza per le interfacce di programmazione delle applicazioni (API).

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Riassumere le classificazioni della sicurezza delle API Top 10 OWASP
  • Confrontare questo elenco con la Top 10 OWASP

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è la Top 10 di sicurezza API OWASP?

The Open Web Application Security Project (OWASP) è un'organizzazione senza scopo di lucro il cui obiettivo è promuovere la sicurezza delle applicazioni Web. OWASP offre molte risorse gratuite per la creazione di un'applicazione Web più sicura.

Una delle risorse più referenziate dell'organizzazione è la Top 10 OWASP, che elenca i principali 10 problemi di sicurezza per le applicazioni Web. OWASP gestisce anche un elenco separato e simile per le interfacce di programmazione delle applicazioni (API), che sono fondamentali per alimentare la maggior parte delle esperienze Web e mobili.

Le API possono generare vantaggi competitivi per le aziende fornendo business intelligence, facilitando le distribuzioni cloud e consentendo l'integrazione delle funzionalità di intelligenza artificiale. Allo stesso tempo, tuttavia, possono introdurre nuovi rischi, consentendo a soggetti esterni di accedere alle applicazioni, condividere dati ed eseguire flussi di lavoro potenzialmente sensibili.

Questa classifica Top 10 per la sicurezza delle API di OWASP, pubblicata più di recente nel 2023, evidenzia i problemi fondamentali che le organizzazioni devono affrontare per proteggere al meglio API, applicazioni e dati. L'elenco include:

  1. Autorizzazione interrotta a livello di oggetto: gli autori di attacchi potrebbero provare a sfruttare gli endpoint API vulnerabili all'autorizzazione interrotta a livello di oggetto. Potrebbero manipolare gli identificatori degli oggetti all'interno di una richiesta per ottenere l'accesso non autorizzato a dati sensibili.
  2. Autenticazione interrotta: se l'autenticazione viene implementata in modo errato, gli autori di attacchi potrebbero impersonare gli utenti delle API e ottenere l'accesso a dati riservati.
  3. Autorizzazione interrotta a livello di proprietà oggetti: una mancanza di autorizzazione o una convalida dell'autorizzazione non corretta a livello di proprietà dell'oggetto potrebbe esporre le informazioni o renderle vulnerabili alla manipolazione da parte di persone non autorizzate.
  4. Consumo illimitato di risorse: molte API non limitano le interazioni client o il consumo di risorse. Gli autori di attacchi potrebbero generare un volume elevato di richieste API, che può aumentare i costi operativi e portare a un denial of service.
  5. Autorizzazione interrotta a livello di funzione: gli autori di attacchi potrebbero inviare chiamate API legittime a un endpoint a cui non dovrebbero essere in grado di accedere. Potrebbero ottenere l'accesso alle risorse o alle funzioni amministrative di altri utenti.
  6. Accesso illimitato ai flussi aziendali sensibili: le API potrebbero esporre un flusso aziendale (come pubblicare un commento su un sito Web, acquistare un prodotto o effettuare una prenotazione), consentendo ai malintenzionati di eseguire tale flusso in modo eccessivo.
  7. Falsificazione della richiesta lato server: un'API potrebbe recuperare una risorsa remota senza convalidare l'URL fornito dall'utente. Ad esempio, un utente potrebbe fornire un URL per caricare un'immagine su una piattaforma di social media. Tale URL potrebbe quindi avviare una scansione delle porte all'interno di una rete interna.
  8. Gestione impropria dell'inventario: le API possono esporre più endpoint rispetto alle applicazioni Web tradizionali. Se le organizzazioni non effettuano l'inventario degli host e delle versioni delle API distribuite, potrebbero lasciare vulnerabili le versioni API e gli endpoint obsoleti.
  9. Utilizzo non sicuro delle API: gli autori di attacchi potrebbero prendere di mira servizi di terze parti che interagiscono con le API anziché colpire direttamente un'API. Si rendono conto che spesso gli sviluppatori si fidano più dei dati provenienti da API di terze parti che dell'input degli utenti.
  10. Per saperne di più su questi 10 rischi per la sicurezza, consulta la pagina ufficiale di OWASP.

    Esiste una certa sovrapposizione tra l'elenco Top 10 di OWASP (elenco completo qui) e l'elenco Top 10 per la sicurezza delle API OWASP. Ad esempio, il controllo degli accessi interrotto è il primo problema nell'elenco Top 10 OWASP e ci sono varie forme di autenticazione e autorizzazione interrotte tra i primi cinque problemi di sicurezza nell'elenco di API. Inoltre, in entrambi gli elenchi compaiono errori di configurazione della sicurezza e falsificazione delle richieste lato server.

    Tuttavia, le API presentano diversi rischi distinti rispetto alle applicazioni Web. Gli sviluppatori dovrebbero prendere in considerazione entrambi gli elenchi.

    In che modo Cloudflare aiuta ad affrontare i rischi per la sicurezza delle API?

    Cloudflare API Shield contribuisce a mantenere le API sicure e funzionanti attraverso funzionalità di individuazione, gestione e monitoraggio centralizzati, e grazie a sistemi di protezione distribuiti su più livelli. API Shield fa parte della gamma di soluzioni per la sicurezza delle applicazioni di Cloudflare, che offre funzionalità aggiuntive per fermare bot, attacchi DDoS e attacchi alle applicazioni, monitorando al contempo gli attacchi alla catena di fornitura.

    Scopri come le funzionalità di Cloudflare affrontano le problematiche specifiche descritte in dettaglio nella Top 10 per la sicurezza delle API OWASP. Ed esplora altre soluzioni di sicurezza delle API di Cloudflare.

    DOMANDE FREQUENTI

    Che cos'è OWASP (Open Web Application Security Project)?

    OWASP è un'organizzazione senza scopo di lucro che promuove la sicurezza delle applicazioni web fornendo risorse gratuite, come best practice di sicurezza ed elenchi di rischi, in modo da aiutare le organizzazioni a proteggere le proprie applicazioni.

    Cos'è la Top 10 di sicurezza API OWASP?

    La OWASP API Security Top 10 è una lista dei rischi più pericolosi per la sicurezza delle API. La lista aiuta le organizzazioni a comprendere e affrontare le vulnerabilità più diffuse che si riscontrano nella fase di progettazione e implementazione delle API.

    Cosa significa "broken authorization" nell'ambito della sicurezza delle API?

    Il termine "broken authorization", traducibile con "mancata autorizzazione" può riferirsi a diversi rischi della lista OWASP: mancata autorizzazione a livello di oggetto, mancata autorizzazione a livello di proprietà dell'oggetto, e mancata autorizzazione a livello di funzione. Tutte e tre queste vulnerabilità possono consentire a eventuali aggressori di esporre o manipolare dati sensibili.

    Quali sono alcuni esempi di rischi per la sicurezza delle API?

    I principali rischi includono il consumo illimitato di risorse, il Server-Side Request Forgery (SSRF) e una gestione insufficiente dell'inventario API, tutti elementi che possono causare l'esposizione di dati o interruzioni di servizio.

    Quali sono le vulnerabilità di autenticazione delle API?

    Le vulnerabilità di autenticazione si verificano quando le API non verificano correttamente gli utenti, consentendo a eventuali aggressori di impersonare utenti legittimi e ottenere l'accesso non autorizzato a dati sensibili.

    Quali sono i rischi connessi alle API di terze parti?

    Quando un'API interagisce con servizi esterni, possono insorgere dei rischi connessi a queste parti terze. Gli aggressori possono prendere di mira servizi esterni invece di attaccare direttamente l'API, specialmente quando quest'ultima tende a fidarsi dei dati provenienti da servizi di terze parti.

    Che cos'è Cloudflare API Shield?

    Cloudflare API Shield è una soluzione che aiuta le organizzazioni a proteggere le proprie API, offrendo funzionalità di rilevamento, gestione centralizzata, monitoraggio e difese di sicurezza multilivello.

    In che modo la OWASP API Security Top 10 si relaziona a OWASP Top 10 per le app web?

    Entrambi questi elenchi classificano dei rischi alla sicurezza molto comuni. La OWASP API Security Top 10 è specifica per le API, mentre OWASP Top 10 riguarda più in generale le applicazioni web. Le API sono quasi sempre elementi cruciali dell'infrastruttura di un'applicazione, pertanto entrambe le liste devono essere tenute in debito conto dagli sviluppatori attenti all'aspetto della sicurezza. Tra le tipologie di rischi che le applicazioni web e le API si trovano ad affrontare esiste un certo grado di sovrapposizione, come problemi relativi al mancato controllo degli accessi e la contraffazione delle richieste sul lato server, ma per le API e le applicazioni l'implementazione di soluzioni atte a ovviare a questi rischi è leggermente diversa.

    Cosa si intende per "sfruttamento del business flow" in ambito API?

    Questo fenomeno si verifica quando degli aggressori sfruttano i workflow legittimi di un'API per far saltare le normali operazioni commerciali di un'azienda. Ad esempio, può avvenire sotto forma di acquisti eccessivi di prodotti o con l'effettuazione di un numero abnorme di prenotazioni.