O Open Web Application Security Project (OWASP) elabora uma lista dos maiores riscos de segurança para as interfaces de programação de aplicativos (APIs).
Após ler este artigo, você será capaz de:
Conteúdo relacionado
O que é segurança de APIs?
O que é OWASP Top 10?
O que é uma API?
O que é uma chamada de API?
O que é segurança de aplicativos web?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos cujo objetivo é promover segurança de aplicativos web. O OWASP oferece muitos recursos gratuitos para criar um aplicativo web mais seguro.
Um dos recursos mais amplamente referenciados da organização é o Top 10 do OWASP, que lista as 10 maiores preocupações de segurança para aplicativos web . O OWASP também mantém uma lista separada e semelhante para interfaces de programação de aplicativos (API), essenciais para alimentar a maioria das experiências web e em dispositivos móveis.
As APIs pode alimentar vantagens competitivas para as empresas, fornecendo inteligência de negócios, facilitando as implantações em nuvem e permitindo a integração de recursos de IA. Mas, ao mesmo tempo, as APIs podem introduzir novos riscos, permitindo que terceiros acessem os aplicativos, compartilhem dados e executem fluxos de trabalho possivelmente confidenciais.
Esse Top 10 do OWASP para segurança de APIs, cuja publicação mais recente foi em 2023, destaca as principais questões que as organizações devem abordar para proteger melhor suas APIs, aplicativos e dados. A lista inclui:
Para saber mais sobre esses dez riscos de segurança, consulte a página oficial do OWASP .
Há alguns cruzamentos entre a lista Top 10 do OWASP (lista completa aqui) e a lista Top 10 do OWASP de segurança de APIs. Por exemplo, falha no controle de acesso é o primeiro problema na lista Top 10 do OWASP e existem várias formas de falha na autenticação e autorização entre os cinco primeiros problemas de segurança da lista de APIs . Além disso, a configuração incorreta de segurança e a falsificação de solicitação do lado do servidor aparecem em ambas as listas.
No entanto, as APIs apresentam vários riscos diferentes em comparação com os aplicativos web . Os desenvolvedores devem levar ambas as listas em consideração.
O Cloudflare API Shield ajuda a manter as APIs seguras e funcionando como deveriam por meio de recursos de descoberta de APIs, gerenciamento e monitoramento centralizados de APIs e defesas inovadoras em camadas. O API Shield faz parte do portfólio de segurança de aplicativos da Cloudflare, que oferece recursos adicionais para interromper ataques de DDoS, de bots e a aplicativos, enquanto monitora ataques à cadeia de suprimentos.
Saiba como os recursos do Cloudflare lidam com os riscos específicos detalhados no Top 10 do OWASP de segurança de APIs. E explore mais as soluções de segurança de APIs da Cloudflare.
A OWASP é uma organização sem fins lucrativos que promove a segurança de aplicativos web, fornecendo recursos gratuitos, como práticas recomendadas de segurança e listas de riscos, para ajudar as organizações a proteger seus aplicativos.
O Top 10 de segurança de APIs do OWASP é uma lista dos riscos de segurança mais críticos enfrentados pelas APIs. Isso ajuda as organizações a compreender e resolver vulnerabilidades comuns no design e implementação de APIs.
"Falha de autorização" pode se referir a vários riscos do OWASP para APIs: falha de autorização em nível de objeto, falha de autorização em nível de propriedade de objeto e falha de autorização em nível de função. Todas as três vulnerabilidades podem permitir que invasores exponham ou manipulem dados confidenciais.
Os principais riscos de APIs incluem consumo irrestrito de recursos, falsificação de solicitação do lado do servidor (SSRF) e gerenciamento inadequado de inventário de APIs, todos eles podem levar à exposição de dados ou interrupção do serviço.
As vulnerabilidades de autenticação ocorrem quando as APIs não verificam adequadamente os usuários, permitindo que invasores se passem por usuários legítimos e obtenham acesso não autorizado a dados confidenciais.
Riscos de APIs de terceiros podem surgir quando uma API interage com serviços externos. Os atacantes podem direcionar seus esforços para esses serviços externos em vez de atacar a API diretamente, especialmente quando a API tende a confiar nos dados desses serviços de terceiros.
O API Shield da Cloudflare é uma solução que auxilia as organizações a proteger suas APIs, oferecendo descoberta de APIs, gerenciamento centralizado, monitoramento e defesas de segurança em camadas.
Ambas as listas categorizam riscos comuns de segurança. O Top 10 de segurança para APIs do OWASP é específico para APIs, enquanto o Top 10 do OWASP se aplica a aplicativos web em geral. As APIs são quase sempre componentes essenciais da infraestrutura de um aplicativo web, portanto, ambas as listas devem ser consideradas por desenvolvedores de aplicativos web preocupados com a segurança. Há alguma sobreposição nos tipos de riscos de segurança enfrentados por APIs e aplicativos web, como problemas de falhas de controle de acesso e falsificação de solicitações do lado do servidor, mas a implementação de soluções para esses riscos será ligeiramente diferente para APIs e aplicativos web.
A exploração do fluxo de negócios ocorre quando invasores violam fluxos de trabalho legítimos de APIs, como fazer compras ou reservas excessivas, para interromper as operações da empresa.