Entwickler sollten einen Blick auf die API Security Top 10 werfen, denn der Angriff auf eine Schnittstelle ist für Hacker höchstinteressant. Um sensible Endpunkte besser abzusichern, legt die OWASP Top 10 eine Liste an in der explizit die weitverbreitetsten Schwachstellen in programmierten Schnittstellen zu finden sind. Eine fehlender Absicherung kann im großen Stil zum Abfluss von sensiblen Daten führen.
OWASP legen eine weitere Liste für die Sicherheit von APIs an.
In der IT-Security Branche sind die OWASP Top 10 eine Nummer. Jeder kennt Sie, Kurse bauen auf Ihnen auf und im Studium werden sie meistens auch besprochen. Selten ist man sich in der Szene einig. Nun geht das Open Web Application Security Projekt einen Schritt weiter und legt extra für die Absicherung bzw. Angriffsfläche von Schnittstellen an. 10 Sicherheitslücken die einen Einfluss auf die API Security haben können.
Zwar sind fähige Entwickler/innen, die die Schwachstellen kennen und bei der Programmierung abfangen das beste Mittel der Wahl. Doch ein Pentest bringt Gewissheit. Mit der API Security Top 10 wird nun ein gemeinsamer Rahmen geschaffen. Die Wichtigkeit dieser Liste wird durch Gartner befeuert. Es wird vermutet, das bis 2021 90% der Angriffsfläche von Web Applikationen über die programmierten Schnittstellen laufen wird. Auf folgende Top 10 hat sich das Projekt geeinigt:
Ein Fall von Excessive Data Exposure wurde im Fall der Mobile World Congress 2020 Website von uns angemerkt.
Damit das Austauschformat nicht zur Datenschleuder wird: Ein Pentest auf die API!
Zwar können durch moderne Gateways viele Probleme abgefangen werden, doch das sollte stets die letzte Hürde sein, niemals aber der Schutzmechanismus selber. Nach wie vor sollten Eingaben validiert und nach dem Security by Design Prinzip entwickelt werden. Dann lässt sich bereits eine große Angriffsfläche reduzieren. Auch wenn einige Schwachstellen sich mit den klassischen OWASP Top 10 überschneiden, so müssen diese Sicherheitslücken im Bereich der APIs ebenfalls detektiert geschlossen werden. Das lässt sich in Form eines Penetrationstests abwickeln. Dann lässt sich generell die API Security steigern.

Read the full article