OWASP Top 10 der API-Sicherheit – Übersicht und Best Practices

Robuste API-Sicherheitsmaßnahmen sind erforderlich, um Daten vor unberechtigtem Zugriff, Manipulation oder Offenlegung zu schützen, den Datenschutz zu gewährleisten, das Vertrauen von Benutzern und Interessengruppen zu wahren sowie die Vertraulichkeit, Integrität und Verfügbarkeit von APIs zu gewährleisten. Die besten API-Sicherheitspraktiken umfassen unter anderem Folgendes:

• Implementieren Sie starke Authentifizierungs- und Autorisierungsmaßnahmen. Setzen Sie angemessenen Autorisierungsprüfungen durch, um sicherzustellen, dass authentifizierte Clients über die erforderlichen Berechtigungen verfügen, um auf bestimmte Ressourcen zuzugreifen oder bestimmte Aktionen auszuführen. Verwenden Sie granulare Zugriffskontrollen, um den Zugriff auf sensible API-Endpunkte oder -Daten sowie relevante Objekte und Funktionen zu beschränken.
• Validieren Sie die Verschlüsselung von Eingabe und Ausgabe. Validieren und bereinigen Sie alle von API-Clients erhaltenen Eingaben, um Einschleusungen zu verhindern, und verschlüsseln Sie die Ausgabe entsprechend, um die Ausführung schädlicher Skripte zu verhindern.
• Setzen Sie sichere Kommunikation ein. Verwenden Sie sichere Protokolle für die Übertragung von Daten zwischen API-Clients und Servern und verschlüsseln Sie vertrauliche Daten bei der Übertragung und im Ruhezustand, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.
• Implementieren Sie eine Ratenbegrenzung und -drosselung. Begrenzen Sie die Anzahl an Anfragen, die API-Clients innerhalb eines bestimmten Zeitraums stellen können, um eine übermäßige Nutzung oder unberechtigte Zugriffsversuche wie bei Distributed Denial-of-Service (DDoS)- und Brute-Force-Angriffen zu verhindern.
• Führen Sie regelmäßige Sicherheitstests und -audits durch. Führen Sie regelmäßige Sicherheitsbewertungen, Penetrationstests und Codeprüfungen durch, um potenzielle Schwachstellen in Ihren APIs zu identifizieren und zu beheben. Führen Sie außerdem Sicherheitsaudits durch, um Schwachstellen zu erkennen und die Einhaltung von branchenweiten Standards und Anforderungen sicherzustellen. Dies ist aufgrund der Abhängigkeiten von APIs sowie den zugrunde liegenden Frameworks und Bibliotheken besonders wichtig.
• Erzwingen Sie die Einhaltung von Schemas und Protokollen. Die automatische Erstellung und Durchsetzung eines positiven Sicherheitsmodells mit OpenAPI-Spezifikationen ist ein wertvolles Tool, um eine konsistente Sicherheitsrichtlinie zu gewährleisten.
• Stellen Sie eine dynamische Erkennung und kontinuierliche Bewertung von APIs sicher. Die Verbreitung von APIs hat dazu geführt, dass manche APIs nicht mehr berücksichtigt oder gepflegt werden, wie dies z. B. bei Schatten-APIs der Fall ist. Sicherheitskontrollen müssen APIs ständig mit Zero-Trust- und „Least Privilege“-Zugriffsparadigmen inventarisieren und schützen, um das unvorhergesehene Risiko durch Abhängigkeiten von Drittanbietern zu minimieren.
• Umfassende Bedrohungserkennung. APIs unterliegen einer Vielzahl von Bedrohungen wie Ausnutzen von Schwachstellen, Fehlkonfigurationen, Bots, Betrug sowie missbräuchliche Nutzung und müssen vor diesen geschützt werden.

Die OWASP Top 10 der API-Sicherheit – 2023 wurde formuliert, um das Bewusstsein für häufige Schwachstellen der API-Sicherheit zu schärfen und Entwicklern, Designern, Architekten, Managern und allen anderen Personen, die an der API-Entwicklung und -Wartung beteiligt sind, zu helfen, einen proaktiven Ansatz für die API-Sicherheit zu gewährleisten.

Die OWASP Top 10 der API-Sicherheitsrisiken für 2023 umfassen Folgendes:  

1. Fehlerhafte Autorisierung auf Objektebene. Diese Sicherheitslücke tritt auf, wenn eine Anwendung die Zugriffskontrollen auf Objekt- oder Datenebene nicht ordnungsgemäß durchsetzt, wodurch ein Angreifer Autorisierungsprüfungen manipulieren oder umgehen kann und so unberechtigten Zugriff auf bestimmte Objekte oder Daten innerhalb einer Anwendung erhält. Dies kann durch die unsachgemäße Durchführung von Autorisierungsprüfungen, einen Mangel an ordnungsgemäßer Validierung oder die Umgehung von Zugriffskontrollen geschehen. Jeder API-Endpunkt, der eine ID eines Objekts empfängt und eine Aktion für das Objekt ausführt, sollte Autorisierungsprüfungen auf Objektebene durchführen. So wird sichergestellt, dass der angemeldete Benutzer über die Berechtigungen zum Ausführen der angeforderten Aktion für das angeforderte Objekt verfügt.
2. Fehler in der Authentifizierung. Authentifizierungsmechanismen werden in einer API häufig falsch implementiert, sodass Angreifer unberechtigten Zugriff auf Benutzerkonten oder vertrauliche Daten erhalten oder nicht autorisierte Aktionen ausführen können. Diese Fehler entstehen in der Regel durch eine unsachgemäße Implementierung oder Konfiguration von Authentifizierungsprozessen, schwache Passwortrichtlinien, Fehler bei der Sitzungsverwaltung oder andere Schwachstellen im Authentifizierungs-Workflow.
3. Fehlerhafte Autorisierung auf der Objekteigenschaftsebene. Diese Bedrohung tritt auf, wenn eine API Zugriffskontrollen und Autorisierungsprüfungen auf Objekteigenschaftsebene nicht ordnungsgemäß durchsetzt. Ein API-Endpunkt ist anfällig für diese Angriffe, wenn er die Eigenschaften eines Objekts offenlegt, die als vertraulich gelten und vom Benutzer nicht gelesen werden sollten. Diese Art des Exploits wird manchmal als übermäßiger Datenzugang bezeichnet. Ein API-Endpunkt ist auch anfällig für diese Angriffe, wenn er es einem Benutzer ermöglicht, den Wert der Eigenschaft eines sensiblen Objekts zu ändern, zu erweitern oder zu löschen. Diese Art des Exploits wird manchmal als Massenzuweisung bezeichnet.
4. Unbeschränkter Ressourcenverbrauch. Bei diesem Angriff, der auch als Ressourcenerschöpfung bezeichnet wird, werden Schwachstellen in der API-Implementierung ausgenutzt, um absichtlich eine übermäßige Menge an Ressourcen wie CPU, Speicher, Bandbreite oder andere Systemressourcen zu verbrauchen. Dieser DoS-Angriff (Denial of Service) beeinträchtigt die Leistung oder Verfügbarkeit der API oder des zugrunde liegenden Systems und kann zu Ausfallzeiten führen.
5. Fehlerhafte Autorisierung auf Funktionsebene. Diese Bedrohung tritt auf, wenn eine API Autorisierungsprüfungen auf Funktions- oder Betriebsebene nicht ordnungsgemäß durchsetzt, sodass Angreifer auf nicht autorisierte Funktionen zugreifen können. Die Implementierung ordnungsgemäßer Autorisierungsprüfungen kann zu Verwirrung führen, da moderne Anwendungen viele Arten von funktionalen Rollen und Gruppen definieren und komplexe Benutzerhierarchien beinhalten können, die von Angreifern manipuliert werden können.
6. Uneingeschränkter Zugriff auf vertrauliche Geschäftsabläufe. Dieser Angriff tritt auf, wenn eine API keine ordnungsgemäßen Zugriffskontrollen oder Autorisierungsprüfungen aufweist, sodass Angreifer den Zugriff auf vertrauliche, von der API gestützte Geschäftsabläufe automatisieren können. Diese Geschäftsabläufe könnten beispielsweise den Masseneinkauf von hochwertigen Produkten mit niedrigem Lagerbestand wie Tickets oder Sneakern beinhalten, die mit einem Preisaufschlag auf Sekundärmärkten weiterverkauft werden können. Angreifer rüsten ihre Angriffe häufig mit ausgeklügelten Automatisierungs-Toolkits um und können sich auf die Geschäftslogik hinter APIs konzentrieren, wenn die Webanwendungen des Ziels ausreichend durch Abwehrmaßnahmen gegen die Automatisierung geschützt sind.
7. Serverseitige Anfragenfälschung (SSRF, Server-Side Request Forgery). Diese Schwachstelle entsteht, wenn ein Angreifer einen anfälligen API-Endpunkt identifiziert, der vom Benutzer bereitgestellte URLs akzeptiert oder serverseitige Anfragen an externe Ressourcen ausführt. Der Angreifer erstellt schädliche Anfragen, die URLs interner Ressourcen oder Systeme angeben, auf die es der Angreifer abgesehen hat. Ungeachtet der dahinter liegenden, böswilligen Absicht führt der Server die serverseitige Anfrage an die angegebene URL aus, wodurch möglicherweise vertrauliche Daten oder Dienste kompromittiert werden.
8. Sicherheitsrelevante Fehlkonfiguration. Angreifer versuchen, nicht gepatchte Fehler, gemeinsame Endpunkte, Dienste mit unsicheren Standardkonfigurationen oder ungeschützte Dateien und Verzeichnisse zu finden, um so unberechtigten Zugriff auf die API zu erhalten. Diese Schwachstelle kann entstehen, wenn keine angemessene Sicherheitshärtung auf jeder Ebene des API-Stacks – vom Netzwerk bis zur Anwendungsebene – vorhanden ist oder wenn fehlkonfigurierte Berechtigungen für Cloud-Dienste vorliegen. Fehlkonfigurationen wirken sich auf Webanwendungen und APIs aus und stellen ein zunehmendes Risiko dar, da die Architektur weiterhin dezentralisiert und über Multi-Cloud-Umgebungen verteilt wird.
9. Unsachgemäße Bestandsverwaltung. APIs unterliegen im Laufe der Zeit Änderungen und Aktualisierungen. Veraltete oder unsichere API-Versionen können jedoch in der Produktion verbleiben und ältere Endpunkte können ungepatcht bleiben oder schwächere Sicherheitsanforderungen verwenden, was das Risiko von Sicherheitsverletzungen erhöht. Das Fehlen einer ordnungsgemäßen Bestandsverwaltung erschwert die Übersicht darüber, welche Versionen verwendet werden, welche veraltet oder überholt sind und welche Schwachstellen behoben wurden. Schatten- und Zombie-APIs stellen erhebliche Risiken dar und unterstreichen die Bedeutung der kontinuierlichen Entdeckung und des automatisierten Schutzes. 
10. Unsicherer Verbrauch von APIs. Entwickler neigen dazu, den von Drittanbieter-APIs erhaltenen Daten zu vertrauen, insbesondere im Falle von APIs, die von bekannten Unternehmen angeboten werden. Dadurch nehmen sie schwächere Sicherheitsanforderungen für diese Daten in Bezug auf die Eingabevalidierung und -bereinigung oder Transportsicherheit an. Ein unsicherer Verbrauch kann auch auftreten, wenn über unsichere Protokolle auf APIs zugegriffen wird oder keine geeigneten Verschlüsselungsmechanismen verwendet werden, was zum Abhören, zu abgefangenen Daten und zu unberechtigtem Zugriff auf vertrauliche Informationen führen kann.