Entwickler sollten einen Blick auf die API Security Top 10 werfen, denn der Angriff auf eine Schnittstelle ist für Hacker höchstinteressant. Um sensible Endpunkte besser abzusichern, legt die OWASP Top 10 eine Liste an in der explizit die weitverbreitetsten Schwachstellen in programmierten Schnittstellen zu finden sind. Eine fehlender Absicherung kann im großen Stil zum Abfluss von sensiblen Daten führen.
OWASP legen eine weitere Liste für die Sicherheit von APIs an.
In der IT-Security Branche sind die OWASP Top 10 eine Nummer. Jeder kennt Sie, Kurse bauen auf Ihnen auf und im Studium werden sie meistens auch besprochen. Selten ist man sich in der Szene einig. Nun geht das Open Web Application Security Projekt einen Schritt weiter und legt extra für die Absicherung bzw. Angriffsfläche von Schnittstellen an. 10 Sicherheitslücken die einen Einfluss auf die API Security haben können.
Zwar sind fähige Entwickler/innen, die die Schwachstellen kennen und bei der Programmierung abfangen das beste Mittel der Wahl. Doch ein Pentest bringt Gewissheit. Mit der API Security Top 10 wird nun ein gemeinsamer Rahmen geschaffen. Die Wichtigkeit dieser Liste wird durch Gartner befeuert. Es wird vermutet, das bis 2021 90% der Angriffsfläche von Web Applikationen über die programmierten Schnittstellen laufen wird. Auf folgende Top 10 hat sich das Projekt geeinigt:
Top | Beschreibung | |
1. | Broken Object Level Authorization | Endpunkte der Schnittstelle nehmen IDs entgegen, ohne den Client auf dessen Berechtigung zu prüfen. |
2. | Broken Authentication | Die notwendige Logik hinter dem Authentifizierungsprozess weist oft Lücken auf. Auth-Tokens können so auf unterschiedliche Weisen ausgenutzt werden. |
3. | Excessive Data Exposure | Sensible Daten werden an den Client weitergereicht. Die Aufgabe der Filterung liegt dann beim Client. |
4. | Lack of Resources & Rate Limiting | Die programmierte Schnittstelle hat keine Limitierung auf die Anzahl der Anfragen. Brute-Force und DoS Angriffe sind dann möglich. |
5. | Broken Function Level Authorization | Die undefinierte Trennung zwischen administrativen und regulären Funktionen führt zum möglichen Zugriff auf sonst restriktive Ressourcen |
6. | Mass Assignment | Gelieferte Daten werden direkt und ohne Segmentierung oder FIlterung ins Datenmodell überführt. Angreifer haben unterschiedliche Möglichkeiten an weitere Objekte zu gelangen. |
7. | Security Misconfiguration | Ein häufiges Problem sind die Default Einstellungen. Aus Ihnen ergibt sich häufig der unsichere Standard in Bezug auf Cloud Storages oder HTTPS Header |
8. | Inection | Auch eine API kann anfällig für eine SQL Injection sein. Das häufigste Problem bei Web Applikationen |
9. | Improper Assets Management | Eine sorgfältige Dokumentation soll eine versehentliche Veröffentlichung von nicht mehr unterstützten APIs und Debugging Endpunkten verhindern. |
10. | Monitoring & Logging | Fehlendes Logging und Monitoring führt zu einer langen Erkennungsrate der Angreifer. |
Ein Fall von Excessive Data Exposure wurde im Fall der Mobile World Congress 2020 Website von uns angemerkt.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Damit das Austauschformat nicht zur Datenschleuder wird: Ein Pentest auf die API!
Zwar können durch moderne Gateways viele Probleme abgefangen werden, doch das sollte stets die letzte Hürde sein, niemals aber der Schutzmechanismus selber. Nach wie vor sollten Eingaben validiert und nach dem Security by Design Prinzip entwickelt werden. Dann lässt sich bereits eine große Angriffsfläche reduzieren. Auch wenn einige Schwachstellen sich mit den klassischen OWASP Top 10 überschneiden, so müssen diese Sicherheitslücken im Bereich der APIs ebenfalls detektiert geschlossen werden. Das lässt sich in Form eines Penetrationstests abwickeln. Dann lässt sich generell die API Security steigern.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.