Salt Security: OWASP API Security Top 10 für das Jahr 2023

Das OWASP ist eine unabhängige, weltweite Community mit dem Ziel, Know-how zur Entwicklung und dem Betrieb sicherer Webanwendungen zu verbreiten und frei zur Verfügung zu stellen. Sämtliche OWASP-Instrumente, wie Dokumente, Videos, Slides, Podcasts etc. sind kostenlos unter einer freien Lizenz verwendbar.

Hier im Überblick die wichtigsten Neuerungen der aktuellen OWASP Top 10

  • API3: Broken Object Property Level Authorization

Der Grundgedanke hinter dieser neuen Kategorie ist, dass eine bestimmte API zwar ausreichende Sicherheitsmaßnahmen für die Autorisierung auf Objektebene erzwingen kann, dies aber möglicherweise nicht ausreicht. Oft muss die Autorisierung noch detaillierter sein und die Objekte und ihre Eigenschaften einschließen.

  • API6: Server-Side Request Forgery (SSRF)

SSRF tritt auf, wenn eine benutzergesteuerte URL über eine API übergeben und vom Back-End-Server beachtet und verarbeitet wird. Wenn der Back-End-Server versucht, eine Verbindung zu der vom User bereitgestellten URL herzustellen, ist SSRF Tür und Tor geöffnet – und das Risiko für die Umgebung wächst rapide.

  • ‍API8: Unzureichender Schutz vor automatisierten Bedrohungen

Die neue Kategorie konzentriert sich auf eine weit verbreitete Art von API-Angriffen, die hauptsächlich Szenarien betreffen, in denen sogenannter „Business Logic Context“ missbraucht wird. Obwohl diese Angriffe weit verbreitet sind, bleiben sie schwer zu erkennen. Erst wenn man die Summe der API-Anfragen im Hinblick auf den spezifischen „Geschäftslogik-Kontext“ betrachtet, wird der Angriff sichtbar.

  • ‍API10: Unsichere Nutzung von APIs

Diese neue Kategorie enthält eine Mischung aus zwei häufigen API-Problemen. Die Kategorie erweitert die Bedrohungslage um Angriffe, die nicht explizit mit sog. „injections“ zusammenhängen. Die gemeinsame Ursache für diese Angriffe ist, dass der Back-End-Dienst bei der Annahme von benutzergesteuerten Eingaben, die über APIs übertragen werden, zu freizügig ist und sie manchmal sogar blind verwendet, ohne sie ordnungsgemäß zu validieren.

Alle Top 10-Probleme lassen sich dauerhaft lösen. Für weitere Informationen zu den Lösungen von Salt Security kontaktieren Sie einfach uns. Den aktuellen Überblick zu allen „Top Changes“ im OWASP API Security Top 10 Report finden Sie hier.