Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

OWASP API Security Top 10 – wenn Schnittstellen angegriffen werden!

M.Sc. Chris Wojzechowski

Entwickler sollten einen Blick auf die API Security Top 10 werfen, denn der Angriff auf eine Schnittstelle ist für Hacker höchstinteressant. Um sensible Endpunkte besser abzusichern, legt die OWASP Top 10 eine Liste an in der explizit die weitverbreitetsten Schwachstellen in programmierten Schnittstellen zu finden sind. Eine fehlender Absicherung kann im großen Stil zum Abfluss von sensiblen Daten führen.

OWASP legen eine weitere Liste für die Sicherheit von APIs an.

In der IT-Security Branche sind die OWASP Top 10 eine Nummer. Jeder kennt Sie, Kurse bauen auf Ihnen auf und im Studium werden sie meistens auch besprochen. Selten ist man sich in der Szene einig. Nun geht das Open Web Application Security Projekt einen Schritt weiter und legt extra für die Absicherung bzw. Angriffsfläche von Schnittstellen an. 10 Sicherheitslücken die einen Einfluss auf die API Security haben können.

Zwar sind fähige Entwickler/innen, die die Schwachstellen kennen und bei der Programmierung abfangen das beste Mittel der Wahl. Doch ein Pentest bringt Gewissheit. Mit der API Security Top 10 wird nun ein gemeinsamer Rahmen geschaffen. Die Wichtigkeit dieser Liste wird durch Gartner befeuert. Es wird vermutet, das bis 2021 90% der Angriffsfläche von Web Applikationen über die programmierten Schnittstellen laufen wird. Auf folgende Top 10 hat sich das Projekt geeinigt:

TopBeschreibung
1.Broken Object Level AuthorizationEndpunkte der Schnittstelle nehmen IDs entgegen, ohne den Client auf dessen Berechtigung zu prüfen.
2.Broken AuthenticationDie notwendige Logik hinter dem Authentifizierungsprozess weist oft Lücken auf. Auth-Tokens können so auf unterschiedliche Weisen ausgenutzt werden.
3.Excessive Data ExposureSensible Daten werden an den Client weitergereicht. Die Aufgabe der Filterung liegt dann beim Client.
4.Lack of Resources & Rate LimitingDie programmierte Schnittstelle hat keine Limitierung auf die Anzahl der Anfragen. Brute-Force und DoS Angriffe sind dann möglich.
5.Broken Function Level AuthorizationDie undefinierte Trennung zwischen administrativen und regulären Funktionen führt zum möglichen Zugriff auf sonst restriktive Ressourcen
6.Mass AssignmentGelieferte Daten werden direkt und ohne Segmentierung oder FIlterung ins Datenmodell überführt. Angreifer haben unterschiedliche Möglichkeiten an weitere Objekte zu gelangen.
7.Security MisconfigurationEin häufiges Problem sind die Default Einstellungen. Aus Ihnen ergibt sich häufig der unsichere Standard in Bezug auf Cloud Storages oder HTTPS Header
8.InectionAuch eine API kann anfällig für eine SQL Injection sein. Das häufigste Problem bei Web Applikationen
9.Improper Assets ManagementEine sorgfältige Dokumentation soll eine versehentliche Veröffentlichung von nicht mehr unterstützten APIs und Debugging Endpunkten verhindern.
10.Monitoring & LoggingFehlendes Logging und Monitoring führt zu einer langen Erkennungsrate der Angreifer.

Ein Fall von Excessive Data Exposure wurde im Fall der Mobile World Congress 2020 Website von uns angemerkt.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Damit das Austauschformat nicht zur Datenschleuder wird: Ein Pentest auf die API!

Zwar können durch moderne Gateways viele Probleme abgefangen werden, doch das sollte stets die letzte Hürde sein, niemals aber der Schutzmechanismus selber. Nach wie vor sollten Eingaben validiert und nach dem Security by Design Prinzip entwickelt werden. Dann lässt sich bereits eine große Angriffsfläche reduzieren. Auch wenn einige Schwachstellen sich mit den klassischen OWASP Top 10 überschneiden, so müssen diese Sicherheitslücken im Bereich der APIs ebenfalls detektiert geschlossen werden. Das lässt sich in Form eines Penetrationstests abwickeln. Dann lässt sich generell die API Security steigern.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.