Dieses Projekt richtet sich an eine ständig wachsende Anzahl von Organisationen, die potenziell sensible APIs als Teil ihrer Softwarelösungen implementieren. APIs werden für interne Aufgaben und für die Interaktion mit Diensten von Drittanbietern verwendet. Leider bestehen viele APIs keine strengen Sicherheitstests, die sie vor Angriffen schützen und die Bedrohungslandschaft für die Webanwendung erweitern würden.
Das OWASP API Security Top 10-Sicherheitsprojekt soll potenzielle Risiken in unsicheren APIs hervorheben und Maßnahmen zur Minderung dieser Risiken vorschlagen.
OWASP
Auf das OWASP-Projekt wird von vielen Standards, Tools und Organisationen verwiesen, darunter MITRE, PCI DSS, DISA, FTC und viele andere. Methoden OWASP ist eine anerkannte Methode zur Bewertung von Schwachstellen in Webanwendungen weltweit. OWASP-Projekte spiegeln die wichtigsten Bedrohungen für Web- und mobile Anwendungen, APIs, wider und beschreiben Testmethoden und -methoden.
Als Entwickler oder Sicherheitsberater sind viele Menschen im Rahmen eines Projekts auf eine API gestoßen. Obwohl es einige Ressourcen gibt, die bei der Erstellung und Bewertung dieser Projekte helfen (z. B. das
OWASP REST- Sicherheits-Spickzettel), wurde kein umfassendes Sicherheitsprojekt entwickelt, das Entwicklern, Pentestern und Sicherheitsexperten hilft.
MODERNE API
Dieses Dokument befindet sich im Status "Release Candidat". Eine offizielle Präsentation ist für das zweite Quartal 2020 geplant. Die API-Sicherheit konzentriert sich auf Strategien und Lösungen zum Verständnis und zur Minderung der einzigartigen Schwachstellen und Sicherheitsrisiken von Anwendungsprogrammierschnittstellen (APIs).
Was wurde die Voraussetzung für die Erstellung dieses Blattes:
- Client-Geräte werden immer vielfältiger und komplexer.
- Die Logik wechselt vom Backend zum Frontend (zusammen mit einigen Schwachstellen).
- Weniger Abstraktionsebenen.
- Der Client und der Server (und die Datenbank) "sprechen" in derselben JSON-Sprache.
- Der Server wird eher als Proxy für Daten verwendet.
- Die Rendering-Komponente ist der Client, nicht der Server.
- Kunden verbrauchen Rohdaten.
- APIs zeigen die zugrunde liegende Implementierung der Anwendung.
- Der Benutzerstatus wird normalerweise vom Client verwaltet und überwacht.
- Jede HTTP-Anforderung sendet zusätzliche Parameter (Objektkennungen,
- Filter).
Eine moderne Webanwendung ist ohne die Verwendung einer API kaum vorstellbar.
OWASP API-Sicherheit Top 10
A1 Falsche Berechtigung auf Objektebene
APIs legen häufig Endpunkte offen, die für Kennungen verantwortlich sind, was große Möglichkeiten für Angriffe auf der Ebene der Zugriffskontrolle eröffnet. Berechtigungsprüfungen auf Objektebene müssen in jeder Funktion implementiert werden, die Benutzereingaben akzeptiert.
A2 Ungültige Authentifizierung
Authentifizierungsmechanismen werden häufig falsch implementiert, wodurch Angreifer Authentifizierungstoken kompromittieren oder Fehler in der Implementierung ausnutzen können, um sich vorübergehend oder dauerhaft als ein anderer Benutzer auszugeben. Die Beeinträchtigung der Fähigkeit des Systems, den Client / Benutzer zu identifizieren, beeinträchtigt die Sicherheit der gesamten API.
A3 Ausgabe redundanter Informationen
Im Streben nach Standardisierung können Entwickler alle Parameter des Objekts offenlegen, ohne die Kritikalität jedes einzelnen zu berücksichtigen, in der Hoffnung, dass der Client die Daten filtert, bevor er sie dem Benutzer anzeigt.
A4 Fehlende Beschränkungen für Ressourcen und Anforderungen
Sehr oft legen APIs keine Einschränkungen hinsichtlich der Größe oder Menge der vom Benutzer angeforderten Ressourcen fest. Dies kann nicht nur zu Leistungseinbußen und sogar zu DoS führen, sondern auch zu Authentifizierungsangriffen - zum Beispiel Bruteforce.
A5 Falsche Berechtigung von Funktionen
Komplexe Zugriffsrichtlinien mit unterschiedlichen Hierarchien, Gruppen und Rollen sowie eine undurchsichtige Trennung zwischen administrativen und normalen Funktionen führen häufig zu Berechtigungsschwachstellen. Durch das Ausnutzen dieser Sicherheitsanfälligkeiten erhalten Angreifer Zugriff auf die Ressourcen anderer Benutzer oder auf die Funktionen des Administrators.
A6 Neuzuweisung von Parametern
Das Binden von vom Client empfangenen Daten (z. B. in JSON) an Datenmodelle ohne Filterung führt normalerweise zu einer Neuzuweisung von Parametern. Angreifer, die die API erkunden, die Dokumentation lesen oder einfach nur raten, können Anforderungen zusätzliche Parameter hinzufügen und Objekte ändern, auf die sie keinen Zugriff haben.
A7 Fehler in den Sicherheitseinstellungen
Fehler in den Sicherheitseinstellungen sind meistens das Ergebnis von Standardeinstellungen, „Krücken“, Speicherung in den Clouds, falscher Konfiguration von HTTP-Headern, unnötigen HTTP-Methoden, zu weit gefassten CORS-Einstellungen und aktivierter Fehlerausgabe.
A8 Injektion
Injection-Schwachstellen wie SQL, NoSQL, Code- / Befehlsinjektion usw. Dies tritt auf, wenn nicht vertrauenswürdige Daten als Teil einer Anforderung oder eines Befehls an den Handler gesendet werden. Die vom Angreifer eingebetteten Daten können den Handler „austricksen“ und er führt einen beliebigen Befehl aus oder empfängt Daten ohne entsprechende Berechtigung.
A9 Falsche Ressourcenverwaltung
APIs bieten häufig mehr Funktionen als herkömmliche Webanwendungen. Daher ist es besonders wichtig, dass die Dokumentation vollständig und aktuell ist. Richtig installierte und konfigurierte APIs spielen eine wichtige Rolle beim Schutz vor Problemen wie dem offenen Zugriff auf ältere Versionen der API und der Debugging-Funktionalität.
A10 Unzureichende Protokollierung und Überwachung
Eine unzureichende Protokollierung und Überwachung in Verbindung mit einer schlechten oder fehlenden Integration in Antwortprozesse ermöglicht es Angreifern, ihre Angriffe zu entwickeln, im Netzwerk Fuß zu fassen, neue Ziele zu erfassen, Daten herunterzuladen oder zu zerstören. Die meisten Hacking-Untersuchungen zeigen, dass die durchschnittliche Erkennungszeit 200 Tage überschreitet und die Tatsache des Hackens eher von externen Auftragnehmern als von internen Überwachungssystemen erkannt wird.
OWASP API Security Top 10 2019
Kapitel OWASP Russland : OWASP RusslandOWASP Russland Chat: https://t.me/OWASP_RussiaOWASP Russland Kanal: https://t.me/OWASP_RU