Entwickler sollten einen Blick auf die API Security Top 10 werfen, denn der Angriff auf eine Schnittstelle ist für Hacker höchstinteressant. Um sensible Endpunkte besser abzusichern, legt die OWASP Top 10 eine Liste an in der explizit die weitverbreitetsten Schwachstellen in programmierten Schnittstellen zu finden sind. Eine fehlender Absicherung kann im großen Stil zum Abfluss von sensiblen Daten führen.
OWASP legen eine weitere Liste für die Sicherheit von APIs an.
In der IT-Security Branche sind die OWASP Top 10 eine Nummer. Jeder kennt Sie, Kurse bauen auf Ihnen auf und im Studium werden sie meistens auch besprochen. Selten ist man sich in der Szene einig. Nun geht das Open Web Application Security Projekt einen Schritt weiter und legt extra für die Absicherung bzw. Angriffsfläche von Schnittstellen an. 10 Sicherheitslücken die einen Einfluss auf die API Security haben können.
Zwar sind fähige Entwickler/innen, die die Schwachstellen kennen und bei der Programmierung abfangen das beste Mittel der Wahl. Doch ein Pentest bringt Gewissheit. Mit der API Security Top 10 wird nun ein gemeinsamer Rahmen geschaffen. Die Wichtigkeit dieser Liste wird durch Gartner befeuert. Es wird vermutet, das bis 2021 90% der Angriffsfläche von Web Applikationen über die programmierten Schnittstellen laufen wird. Auf folgende Top 10 hat sich das Projekt geeinigt:
| Top | Description | |
|---|---|---|
| 1. | Broken Object Level Authorization | Endpoints of the interface accept IDs without checking the client for authorization. |
| 2. | Broken Authentication | The necessary logic behind the authentication process often has gaps. Auth tokens can thus be exploited in different ways. |
| 3. | Excessive Data Exposure | Sensitive data is passed on to the client. The task of filtering then lies with the client. |
| 4. | Lack of Resources & Rate Limiting | The programmed interface has no limitation on the number of requests. Brute force and DoS attacks are then possible. |
| 5. | Broken Function Level Authorization | The undefined separation between administrative and regular functions leads to possible access to otherwise restrictive resources |
| 6. | Mass Assignment | Delivered data is directly transferred to the data model without segmentation or filtering. Attackers have different ways of gaining access to other objects. |
| 7. | Security Misconfiguration | A common problem is the default settings. They often result in the insecure standard regarding Cloud Storages or HTTPS headers |
| 8. | Inection | An API may also be vulnerable to a SQL injection. The most common problem with web applications |
| 9. | Improper Assets Management | Careful documentation should prevent accidental release of unsupported APIs and debugging endpoints. |
| 10. | Monitoring & Logging | Lack of logging and monitoring leads to a long detection rate of attackers. |
Ein Fall von Excessive Data Exposure wurde im Fall der Mobile World Congress 2020 Website von uns angemerkt.
Damit das Austauschformat nicht zur Datenschleuder wird: Ein Pentest auf die API!
Zwar können durch moderne Gateways viele Probleme abgefangen werden, doch das sollte stets die letzte Hürde sein, niemals aber der Schutzmechanismus selber. Nach wie vor sollten Eingaben validiert und nach dem Security by Design Prinzip entwickelt werden. Dann lässt sich bereits eine große Angriffsfläche reduzieren. Auch wenn einige Schwachstellen sich mit den klassischen OWASP Top 10 überschneiden, so müssen diese Sicherheitslücken im Bereich der APIs ebenfalls detektiert geschlossen werden. Das lässt sich in Form eines Penetrationstests abwickeln. Dann lässt sich generell die API Security steigern.
