OWASP API Security Top 10 Übersicht und Best Practices

Um Daten vor unberechtigtem Zugriff, Manipulation oder Offenlegung zu schützen , sind robuste API-Sicherheitsmaßnahmen erforderlich. So können die Privatsphäre geschützt und das Vertrauen der Benutzer und Beteiligten bewahrt sowie die Vertraulichkeit, Integrität und Verfügbarkeit von APIs sichergestellt werden. Zu den Best Practices für die API-Sicherheit gehören die folgenden:

• Implementieren Sie eine starke Authentifizierung und Autorisierung. Erzwingen Sie ordnungsgemäße Autorisierungsprüfungen, um sicherzustellen, dass authentifizierte Clients über die erforderlichen Berechtigungen verfügen, um auf bestimmte Ressourcen zuzugreifen oder bestimmte Aktionen auszuführen. Verwenden Sie detaillierte Zugriffskontrollen, um den Zugriff auf vertrauliche API-Endpunkte oder Daten sowie relevante Objekte und Funktionen zu beschränken.
• Überprüfen Sie die Eingabe- und Ausgabecodierung. Validieren und bereinigen Sie alle von API-Clients empfangenen Eingaben, um Injektionsangriffe zu verhindern, und kodieren Sie die Ausgabe entsprechend, um die Ausführung bösartiger Skripts zu verhindern.
• Verwenden Sie sichere Kommunikation. Verwenden Sie sichere Protokolle zur Datenübertragung zwischen API-Clients und Servern und verschlüsseln Sie vertrauliche Informationen während der Übertragung und im Ruhezustand, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. 
• Implementieren Sie Ratenbegrenzung und Drosselung. Erzwingen Sie Beschränkungen für die Anzahl der Anfragen, die API-Clients innerhalb eines bestimmten Zeitraums stellen können, um übermäßige Nutzung oder unbefugte Zugriffsversuche wie Distributed Denial of Service (DDoS) und Brute-Force-Angriffe zu verhindern.
• Führen Sie regelmäßige Sicherheitstests und -prüfungen durch. Führen Sie regelmäßig Sicherheitsbewertungen, Penetrationstests und Codeüberprüfungen durch, um potenzielle Schwachstellen in Ihren APIs zu ermitteln und zu beheben. Führen Sie Sicherheitsprüfungen durch, um Schwachstellen zu erkennen und die Einhaltung von Branchenstandards und -vorgaben sicherzustellen. Dies ist besonders wichtig aufgrund der gegenseitigen Abhängigkeiten von APIs und zugrunde liegenden Frameworks und Bibliotheken.
• Erzwingen Sie die Einhaltung von Schema und Protokoll. Das automatische Erstellen und Durchsetzen eines positiven Sicherheitsmodells mit OpenAPI-Spezifikationen ist ein wertvolles Tool zur Gewährleistung einer konsistenten Sicherheitsrichtlinie.
• Entdecken und bewerten Sie APIs dynamisch und kontinuierlich. Die zunehmende Verbreitung von APIs hat dazu geführt, dass APIs, darunter auch Schatten-APIs , nicht berücksichtigt oder nicht gewartet werden. Sicherheitskontrollen müssen APIs ständig inventarisieren und schützen und dabei die Paradigmen Zero Trust und Least Privilege Access verwenden, um unvorhergesehene Risiken von Abhängigkeiten von Drittanbietern zu verringern. 
• Umfassende Bedrohungserkennung. APIs sind einer Vielzahl von Bedrohungen ausgesetzt und müssen vor diesen geschützt werden, darunter Exploits, Fehlkonfigurationen, Bots, Betrug und Missbrauch.

Die OWASP API Security Top 10 – 2023 wurden entwickelt, um das Bewusstsein für gängige API-Sicherheitsschwächen zu schärfen und Entwicklern, Designern, Architekten, Managern und anderen an der API-Entwicklung und -Wartung Beteiligten dabei zu helfen, einen proaktiven Ansatz zur API-Sicherheit beizubehalten.

Die Top 10 der OWASP API-Sicherheitsrisiken für 2023 sind:  

1. Beschädigte Autorisierung auf Objektebene. Diese Sicherheitslücke tritt auf, wenn eine Anwendung die Zugriffskontrollen auf Objekt- oder Datenebene nicht ordnungsgemäß durchsetzt, wodurch ein Angreifer Autorisierungsprüfungen manipulieren oder umgehen und unbefugten Zugriff auf bestimmte Objekte oder Daten innerhalb einer Anwendung gewähren kann. Dies kann aufgrund einer unsachgemäßen Durchführung der Autorisierungsprüfungen, einer fehlenden ordnungsgemäßen Validierung oder der Umgehung von Zugriffskontrollen geschehen. Jeder API-Endpunkt, der eine ID eines Objekts empfängt und eine Aktion für das Objekt ausführt, sollte Autorisierungsprüfungen auf Objektebene implementieren, um zu bestätigen, dass der angemeldete Benutzer über die Berechtigung verfügt, die angeforderte Aktion für das angeforderte Objekt auszuführen.
2. Fehlerhafte Authentifizierung. Authentifizierungsmechanismen in einer API sind häufig falsch implementiert, wodurch Angreifer unbefugten Zugriff auf Benutzerkonten oder vertrauliche Daten erhalten oder nicht autorisierte Aktionen ausführen können. Dies ist in der Regel auf eine unsachgemäße Implementierung oder Konfiguration der Authentifizierungsprozesse, schwache Kennwortrichtlinien, Fehler bei der Sitzungsverwaltung oder andere Schwachstellen im Authentifizierungs-Workflow zurückzuführen. 
3. Autorisierung auf der Ebene der Objekteigenschaften defekt. Diese Bedrohung tritt auf, wenn eine API Zugriffskontrollen und Autorisierungsprüfungen auf der Objekteigenschaftsebene nicht ordnungsgemäß durchsetzt. Ein API-Endpunkt ist für diese Angriffe anfällig, wenn er Eigenschaften eines Objekts preisgibt, die als vertraulich gelten und nicht vom Benutzer gelesen werden sollten. Dieser Exploit wird manchmal als übermäßige Datenfreigabe bezeichnet. Ein API-Endpunkt ist auch dann anfällig für diese Angriffe, wenn er einem Benutzer ermöglicht, den Wert der Eigenschaft eines sensiblen Objekts zu ändern, hinzuzufügen oder zu löschen. Dieser Exploit wird manchmal als Massenzuweisung bezeichnet.
4. Uneingeschränkter Ressourcenverbrauch. Bei diesem Angriff, auch Ressourcenerschöpfung genannt, werden Schwachstellen in der API-Implementierung ausgenutzt, um absichtlich übermäßig viele Ressourcen wie CPU, Speicher, Bandbreite oder andere Systemressourcen zu verbrauchen. Dieser Denial-of-Service-Angriff (DoS) beeinträchtigt die Leistung oder Verfügbarkeit der API oder des zugrunde liegenden Systems und kann zu Ausfallzeiten führen.  
5. Beschädigte Autorisierung auf Funktionsebene. Diese Bedrohung entsteht, wenn eine API Autorisierungsprüfungen auf Funktions- oder Vorgangsebene nicht ordnungsgemäß durchsetzt und Angreifer dadurch auf nicht autorisierte Funktionen zugreifen können. Die Implementierung ordnungsgemäßer Autorisierungsprüfungen kann verwirrend sein, da moderne Anwendungen viele Arten von Funktionsrollen und -gruppen definieren und komplexe Benutzerhierarchien beinhalten können, die Angreifer manipulieren können. 
6. Uneingeschränkter Zugriff auf sensible Geschäftsabläufe. Dieser Angriff erfolgt, wenn einer API die richtigen Zugriffskontrollen oder Autorisierungsprüfungen fehlen, sodass Angreifer den Zugriff auf vertrauliche Geschäftsabläufe, die von der API unterstützt werden, automatisieren können. Diese Geschäftsabläufe unterstützen möglicherweise den Masseneinkauf hochwertiger, aber in geringem Lagerbestand befindlicher Produkte wie Tickets oder Turnschuhe, die auf Sekundärmärkten mit Aufschlag weiterverkauft werden können. Angreifer rüsten ihre Angriffe häufig mithilfe ausgefeilter Automatisierungs-Toolkits um und zielen möglicherweise auf die Geschäftslogik hinter APIs ab, wenn die Web-Apps des Ziels durch ausreichende Abwehrmaßnahmen gegen die Automatisierung geschützt sind.  
7. Serverseitige Anforderungsfälschung (SSRF). Diese Sicherheitslücke entsteht, wenn ein Angreifer einen anfälligen API-Endpunkt identifiziert, der vom Benutzer bereitgestellte URLs akzeptiert oder serverseitige Anfragen an externe Ressourcen stellt. Der Angreifer erstellt bösartige Anfragen, die URLs interner Ressourcen oder Systeme angeben, auf die der Angreifer abzielen möchte. Der Server ist sich der böswilligen Absicht nicht bewusst und führt die serverseitige Anfrage an die angegebene URL aus, wodurch möglicherweise vertrauliche Informationen oder Dienste offengelegt werden. 
8. Sicherheitsfehlkonfiguration. Angreifer versuchen, ungepatchte Fehler, gemeinsame Endpunkte, Dienste mit unsicheren Standardkonfigurationen oder ungeschützte Dateien und Verzeichnisse zu finden, um unbefugten Zugriff auf die API zu erhalten. Diese Sicherheitslücke kann entstehen, wenn auf allen Ebenen des API-Stacks – vom Netzwerk bis zur Anwendungsebene – die entsprechende Sicherheitshärtung fehlt oder wenn die Berechtigungen für Cloud-Dienste nicht richtig konfiguriert sind. Eine Fehlkonfiguration wirkt sich auf Webanwendungen und APIs aus und stellt ein zunehmendes Risiko dar, da die Architektur zunehmend dezentralisiert und auf Multi-Cloud-Umgebungen verteilt wird.
9. Unsachgemäße Bestandsverwaltung. APIs unterliegen im Laufe der Zeit Änderungen und Aktualisierungen, es können jedoch veraltete oder unsichere API-Versionen in der Produktion verbleiben oder ältere Endpunkte werden möglicherweise ungepatcht oder mit schwächeren Sicherheitsanforderungen ausgeführt, was das Risiko von Sicherheitsverletzungen erhöht. Durch das Fehlen einer geeigneten Bestandsverwaltung lässt sich nur schwer nachverfolgen, welche Versionen im Einsatz sind, welche veraltet oder nicht mehr weiterentwickelt werden und welche Schwachstellen behoben wurden. Schatten- und Zombie-APIs bergen erhebliche Risiken und unterstreichen die Bedeutung kontinuierlicher Erkennung und automatisierter Schutzmaßnahmen.  
10. Unsichere Verwendung von APIs. Entwickler neigen dazu, Daten zu vertrauen, die sie von APIs von Drittanbietern erhalten, insbesondere von APIs namhafter Unternehmen, und stellen für diese Daten geringere Sicherheitsanforderungen hinsichtlich Eingabevalidierung und -bereinigung oder Transportsicherheit. Zu einer unsicheren Nutzung kann es auch kommen, wenn auf APIs über unsichere Protokolle zugegriffen wird oder wenn keine geeigneten Verschlüsselungsmechanismen verwendet werden, was zu Lauschangriffen, Datenabfangen und unbefugtem Zugriff auf vertrauliche Informationen führen kann.