O que é a lista Top 10 de Segurança para APIs do OWASP?

O que é a lista Top 10 de Segurança para APIs do OWASP?

O Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos cujo objetivo é promover segurança de aplicativos web. O OWASP oferece muitos recursos gratuitos para criar um aplicativo web mais seguro.

Um dos recursos mais amplamente referenciados da organização é o Top 10 do OWASP, que lista as 10 maiores preocupações de segurança para aplicativos web . O OWASP também mantém uma lista separada e semelhante para interfaces de programação de aplicativos (API), essenciais para alimentar a maioria das experiências web e em dispositivos móveis.

As APIs pode alimentar vantagens competitivas para as empresas, fornecendo inteligência de negócios, facilitando as implantações em nuvem e permitindo a integração de recursos de IA. Mas, ao mesmo tempo, as APIs pode introduzir novos riscos, permitindo que terceiros acessem os aplicativos, compartilhem dados e executem fluxos de trabalho possivelmente confidenciais.

Esse Top 10 do OWASP para segurança de APIs, cuja publicação mais recente foi em 2023, destaca as principais questões que as organizações devem abordar para proteger melhor suas APIs, aplicativos e dados. A lista inclui:

1. Falha de autorização em nível de objeto: os invasores podem tentar explorar endpoints de API vulneráveis a falha de autorização em nível de objeto. Eles poderiam manipular identificadores de objetos em uma solicitação para obter acesso não autorizado a dados confidenciais.
2. Falha de autenticação: se a autenticação for implementada incorretamente, os invasores poderão se passar por usuários da API e obter acesso a dados confidenciais.
3. Falha de autorização no nível de propriedade do objeto: a falta de autorização ou validação de autorização inadequada no nível de propriedade do objeto pode deixar as informações expostas ou vulneráveis à manipulação por pessoas não autorizadas.
4. Consumo irrestrito de recursos: muitas APIs não limitam as interações com clientes ou o consumo de recursos. Os invasores podem gerar um alto volume de chamadas de APIs, o que pode aumentar os custos operacionais e levar a uma negação de serviço.
5. Falha de autorização no nível de função: os invasores podem enviar chamadas de APIs legítimas para um endpoint que não deveriam poder acessar. Eles podem obter acesso aos recursos ou funções administrativas de outros usuários.
6. Acesso irrestrito a fluxos de negócios confidenciais: as APIs podem expor um fluxo de negócios (como postar um comentário em um site, comprar um produto ou fazer uma reserva), permitindo que os invasores executem esse fluxo excessivamente.
7. Falsificação de solicitação do lado do servidor: uma API pode buscar um recurso remoto sem validar o URL fornecido pelo usuário. Por exemplo, um usuário pode fornecer um URL para fazer upload de uma imagem em uma plataforma de mídia social. Esse URL pode então iniciar uma verificação de porta em uma rede interna.
8. Gerenciamento de inventário inadequado: as APIs podem expor mais endpoints do que aplicativos web tradicionais. Se as organizações não fizerem o inventário dos hosts e das versões de API implantadas, elas poderão deixar as versões de APIs descontinuadas e os endpoints vulneráveis.
9. Consumo inseguro de APIs: os invasores podem ter como alvo serviços de terceiros que interagem com APIs , em vez de visar uma API diretamente. Eles percebem que os desenvolvedores geralmente confiam mais em dados de APIs de terceiros do que na entrada de usuários.

Para saber mais sobre esses dez riscos de segurança, consulte a página oficial do OWASP .

Há alguns cruzamentos entre a lista Top 10 do OWASP (lista completa aqui) e a lista Top 10 do OWASP de segurança de APIs. Por exemplo, falha no controle de acesso é o primeiro problema na lista Top 10 do OWASP e existem várias formas de falha na autenticação e autorização entre os cinco primeiros problemas de segurança da lista de APIs . Além disso, a configuração incorreta de segurança e a falsificação de solicitação do lado do servidor aparecem em ambas as listas.

No entanto, as APIs apresentam vários riscos diferentes em comparação com os aplicativos web . Os desenvolvedores devem levar ambas as listas em consideração.

Como a Cloudflare ajuda a abordar os riscos de segurança de APIs?

O Cloudflare API Shield ajuda a manter as APIs seguras e funcionando como deveriam por meio de recursos de descoberta de APIs, gerenciamento e monitoramento centralizados de APIs e defesas inovadoras em camadas. O API Shield faz parte do portfólio de segurança de aplicativos da Cloudflare, que oferece recursos adicionais para interromper ataques DDoS, de bots e a aplicativos, enquanto monitora ataques à cadeia de suprimentos.

Saiba como os recursos do Cloudflare lidam com os riscos específicos detalhados no Top 10 do OWASP de segurança de APIs. E explore mais as soluções de segurança de APIs da Cloudflare.