Innihald fela sig
1 262-000177-001 OWASP Topp 10 fyrir API öryggi
2 Upplýsingar um vöru
2.1 Tæknilýsing
2.2 Notkunarleiðbeiningar fyrir vöru
2.2.1 Kynning á API-öryggi
2.2.2 Svikamylla fyrir API-öryggi
2.2.3 Leiðbeiningar fyrir forritara lokiðview
2.3 Algengar spurningar (algengar spurningar)
2.3.1 Sp.: Hvers vegna er API-öryggi mikilvægt?
2.3.2 Sp.: Hvernig get ég innleitt örugg forritaskil (API)?
2.3.3 Skjöl / auðlindir
2.3.3.1 Heimildir

262-000177-001 OWASP Topp 10 fyrir API öryggi

Upplýsingar um vöru

Tæknilýsing

  • Vöruheiti: Leiðarvísir forritara um 10 bestu OWASP forritunarviðmótin fyrir API árið 2023
    Öryggi
  • Efni: Öryggissvikamylla fyrir forritaskil, skilgreiningar og ítarlegar upplýsingar
    Leiðbeiningar fyrir OWASP Top 10 fyrir API öryggi árið 2023

Notkunarleiðbeiningar fyrir vöru

Kynning á API-öryggi

Handbók forritara veitir ítarlegar upplýsingar um
2023 OWASP topp 10 fyrir API öryggi, með áherslu á sameiginlegt öryggi
áhættur við þróun forrita með API.

Svikamylla fyrir API-öryggi

Í svindlblaðinu eru eftirfarandi flokkar API-öryggis taldir upp
áhættur:

  1. Heimild á biluðu hlutstigi
  2. Biluð auðkenning
  3. Heimild á eigindastigi brotins hlutar
  4. Ótakmörkuð auðlindanotkun
  5. Biluð heimild á virknistigi
  6. Ótakmarkaður aðgangur að viðkvæmum viðskiptaflæði
  7. Fölsun beiðni á netþjónshlið
  8. Öryggisröskun
  9. Óviðeigandi birgðastjórnun
  10. Óörugg notkun forritaskila

Leiðbeiningar fyrir forritara lokiðview

Leiðarvísirinn fjallar um hvern öryggisáhættuflokk API og veitir upplýsingar
ítarlegar útskýringar og leiðbeiningar um hvernig bregðast skal við og draga úr
þessar áhættur á áhrifaríkan hátt.

Algengar spurningar (algengar spurningar)

Sp.: Hvers vegna er API-öryggi mikilvægt?

A: Öryggi forritaskila (API) er mikilvægt þar sem forritaskil afhjúpa oft viðkvæm gögn
og forritarökfræði, sem gerir þau að aðal skotmörkum árásarmanna.
Að tryggja öryggi API-viðmóta er nauðsynlegt til að koma í veg fyrir gagnaleka og
að tryggja heildaröryggi kerfisins.

Sp.: Hvernig get ég innleitt örugg forritaskil (API)?

A: Til að innleiða örugg forritaskil (API) skal fylgja bestu starfsvenjum eins og
rétt auðkenning, heimildarferli, innsláttarstaðfesting,
dulkóðun viðkvæmra gagna og reglulegt öryggismat og
uppfærslur.

“`

View Fullscreen

HVÍTBÁR
Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

Innihald

Svikamylla fyrir öryggi API

5

Skilgreiningar

5

API1:2023 – Heimild á biluðu hlutstigi

7

API2:2023 – Biluð auðkenning

8

API3:2023 – Heimild á eigindastigi bilaðra hluta

9

API4:2023 – Ótakmörkuð auðlindanotkun

11

API5:2023 – Biluð heimild á virknistigi

13

API6:2023 – Ótakmarkaður aðgangur að viðkvæmum viðskiptaflæði

14

API7:2023 – Fölsun beiðna á netþjónshlið

16

API8:2023 – Öryggisvillur

18

API9:2023 – Óviðeigandi birgðastjórnun

19

API10:2023 – Óörugg notkun forritaskila

21

Topp 10 öryggislistar API eru ekki nægjanlegir!

23

Niðurstaða

23

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

2/23

Þar sem fyrirtæki hafa tekið upp skýjainnbyggða innviði og DevOp-stíl aðferðafræði, web Forritunarviðmót (API) hafa fjölgað sér. Meðal vinsælustu opinberu API-viðmótanna eru þau sem leyfa forriturum að fá aðgang að Google leit, sækja gögn af TikTok, fylgjast með ökutækjum, safna íþróttaúrslitum og safna gögnum um niðurhal mynda af vinsælum síðum.1 Árið 2023 nam umferð tengd API 58 prósentum af allri breytilegri umferð – skilgreind sem ekki skyndiminni – en var 54 prósent í lok árs 2021.2
Forritaskil (API) eru orðin leið fyrirtækjaforrit til að eiga samskipti og samþætta hvert annað. Fyrirtæki nota um tvo þriðju hluta af API-um sínum (64%) til að tengja forrit sín við samstarfsaðila, en um helmingur (51%) eru aðgangspunktar að örþjónustum. Í heildina nota meira en þrír fjórðungar fyrirtækja að meðaltali að minnsta kosti 25 API-um á hvert forrit.3
Innleiðing forritainnviða sem byggja á API ætti ekki að koma á óvart: Fyrirtæki sem taka upp API til að laða að þriðja aðila forritara og skapa vistkerfi sjá aukinn vöxt. Þessi „öfugu fyrirtæki“ – sem eru kölluð svo vegna þess að þau snúa við hefðbundnum hugmyndum um að skapa hindranir í kringum tækni og leyfa opinn aðgang að sumum möguleikum og gögnum – uxu um næstum 13 prósent á tveimur árum og 39 prósent á 16 árum, samanborið við fyrirtæki sem ekki tóku upp API, samkvæmt grein frá árinu 2022 eftir vísindamenn við Chapman-háskóla og Boston-háskóla.4
Með innleiðingu örþjónustu, gámavæðingar og forritaskila fylgja hins vegar ýmsar áhættur, svo sem óöruggir hugbúnaðaríhlutir, léleg viðskiptarökfræði og gallað gagnaöryggi. Níu af hverjum tíu fyrirtækjum (92%) hafa orðið fyrir að minnsta kosti einu öryggisatviki sem tengist óöruggum forritaskilum.5 Stór fyrirtæki eru yfirleitt með þúsundir forritaskila og árásir á þessi kerfi eru um 20 prósent öryggisatvika, en minni fyrirtæki eru með hundruð forritaskila þar sem minni árásarflötur er um fimm prósent öryggisatvika.6 Árlegt tap vegna brota af völdum veikleika í forritaskilum fer yfir 40 milljarða dala á heimsvísu, samkvæmt mati Marsh McLennan.7
1 Arellano, Kelly. 50 vinsælustu forritaskilin. RapidAPI blogg. RapidAPI. Web Síða. 16. mars 2023.
2 Tremante, Michael, o.fl. Skýrsla um öryggi forrita: 2. ársfjórðungur 2023. Cloudflare blogg. Cloudflare. Bloggfærsla. 21. ágúst 2023.
3 Marks, Melinda. Að tryggja árásarflöt API. Enterprise Strategy Group. Styrkt af Palo Alto Networks. PDF skýrsla, bls. 10. 23. maí 2023.
4 Benzell, Seth G., o.fl. Hvernig forritaskil (API) skapa vöxt með því að snúa fyrirtækinu við. Rannsóknarnet félagsvísinda. Rannsóknargrein. Endurskoðað: 30. des. 2022.
5 Að tryggja árásarflöt API. Enterprise Strategy Group, bls. 14. 6 Lemos, Robert. Tap vegna API-öryggis nemur milljörðum, en það er flókið. Dökk lesning.
Fréttagrein. 30. júní 2022. 7 Marsh McLennan. Magnbundin kostnaðarákvörðun vegna óöryggis í forritaskilum. Styrkt af Imperva.
PDF skýrsla. 22. júní 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

3/23

Listinn yfir 10 helstu öryggisáhættur API-viðskiptavina árið 2023 sýnir tíu algengustu og alvarlegustu öryggisáhættu sem skapast við þróun forrita sem nota eða afhjúpa API-viðskiptavini.

Vandamálið er svo alvarlegt að bandaríska Þjóðaröryggisstofnunin (NSA) hefur tekið höndum saman með Áströlsku netöryggismiðstöðinni (ACSC) og bandarísku netöryggis- og innviðaöryggisstofnuninni (CISA) til að veita leiðbeiningar um öryggismál í forritaskilum (API), sérstaklega þau algengustu, sem kallast óörugg bein tilvísunarbrot (IDOR).8
Það kemur ekki á óvart að í ljósi vaxandi öryggisáhyggna hefur Open Worldwide Application Security Project (OWASP) gefið út uppfærslu á lista sínum yfir 10 helstu öryggisáhættu API-viðskiptavina (API Security Top 10). Listinn yfir 10 helstu öryggisáhættu API-viðskiptavina fyrir árið 2023, sem endurnýjar sinn fyrsta lista frá árinu 2019, varpar ljósi á tíu algengustu og alvarlegustu öryggisáhættu sem skapast við þróun forrita sem afhjúpa eða nota API-viðskiptavini. Vandamál eins og „Broken Object-Level Authorization“, sem inniheldur öryggisgalla í IDOR, eru þau sömu og á fyrri lista. Samt sem áður varpa nýir flokkar – eða endurskipulagðir flokkar – nú ljósi á vandamál sem áður höfðu verið gleymd, svo sem „Server-Side Request Forgery“ (API7:2023) og „Unrestricted Access to Sensitive Business Flows“ (API6:2023).
„API-viðmið afhjúpa eðli sínu rökfræði forrita og viðkvæm gögn eins og persónugreinanlegar upplýsingar (PII) og vegna þessa hafa API-viðmið í auknum mæli orðið skotmark árásarmanna,“ sagði OWASP-hópurinn í tilkynningu sinni.9 „Án öruggra API-viðmiða væri hröð nýsköpun ómöguleg.“

8 nýjar ráðleggingar um netöryggi vara við Web Öryggisbrellur í forritum. Þjóðaröryggisstofnun Bandaríkjanna. Fréttatilkynning. 27. júlí 2023.
9. Verkefnið um öryggi forrita á alþjóðavettvangi. OWASP API öryggi, efstu 10: Áfram. OWASP.org. Web Síða. 3. júlí 2023.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

4/23

Svikamylla fyrir öryggi API

OWASP topp 10 flokkur 1. Biluð heimild á hlutastigi 2. Biluð auðkenning 3. Biluð heimild á hlutareiginleikastigi 4. Ótakmörkuð auðlindanotkun 5. Biluð heimild á virknistigi 6. Ótakmarkaður aðgangur að viðkvæmum viðskiptaflæði 7. Fölsun beiðna á netþjóni 8. Rangstilling öryggis 9. Óviðeigandi birgðastjórnun 10. Óörugg notkun forritaskila (API)

Netöryggislausn SAST SAST, DAST SAST, DAST SAST, DAST, Secure API Manager SAST DAST DAST SAST, DAST Secure API Manager SCA, SAST

Skilgreiningar
API endapunktur – Samskiptapunktur tveggja kerfa, yfirleitt URL íláts eða netþjóns sem keyrir örþjónustu. Notkun URL, forritari getur óskað eftir upplýsingum frá netþjóninum eða framkvæmt aðgerð á API-þjóninum eða örþjónustunni.
Umferð tengd forritaskilum – Netumferð sem samanstendur af HTTP- eða HTTPS-beiðni og hefur svarinnihald í XML eða JSON, sem gefur til kynna að gögn séu send til forrits, venjulega í gegnum SOAP, WSDL, REST API eða gRPC (sjá hér að neðan).
Öryggisprófanir á forritum (DAST) – Ferlið við að greina forrit eða API-þjón með því að nota viðmótið, hvort sem það er notendaviðmót forritsins, web framhlið fyrir web umsókn, eða URLs fyrir API-endapunkta. Í svartkassaprófunum er forrit metið „utan frá og inn“ með því að ráðast á forrit á sama hátt og árásaraðili, oftast án vitneskju um innri ferla.
Stöðug öryggisprófun forrita (e. static application security testing (SAST)) – Aðferð við öryggi forrita sem skannar frumkóða, tvíundakóða eða bætikóða í leit að þekktum villum eða veikleikum. Stundum kölluð hvítkassaprófun notar SAST aðferð sem er „innan frá og út“ og greinir hugsanlega veikleika og villur sem utanaðkomandi árásaraðili gæti, eða gæti ekki, nýtt sér. Létt stöðug verkfæri geta veitt forriturum rauntíma endurgjöf í IDE þeirra.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

5/23

Heimildarkerfi á biluðu hlutstigi er útbreitt og auðvelt að nýta sér vandamál í web forrit vegna þess að API-köll bera upplýsingar um stöðu. Forrit eru viðkvæm ef þau leyfa notanda að grípa til aðgerða með því að tilgreina auðkenni í API án þess að athuga hvort hann hafi heimild til að framkvæma þessar aðgerðir.

SOAP/WSDL – XML-byggð samskiptaregla til að búa til Web API. SOAP er samskiptareglurnar sjálfar og WSDL (Web Þjónustuskilgreiningarmál) er sniðið sem notað er til að lýsa þjónustu formlega. Vegna mikils kostnaðar hefur þessi API-stíll orðið óvinsæll fyrir nýjar þróunaraðferðir.
Hvíld–A Web API-stíll sem felur í sér að skiptast á skilaboðum beint í gegnum HTTP, með því að nota merkingarfræði HTTP. URLs og sagnir, án þess að nota viðbótar „umslag“. Efnið er venjulega kóðað sem JSON, þó í sumum tilfellum sé það XML.
GraphQL – Fyrirspurnarmál hannað til notkunar í forritaskilum (API) (með beiðnum og svörum í JSON), ásamt keyrslutíma á netþjóni til að framkvæma þessar fyrirspurnir. Það gerir viðskiptavinum kleift að skilgreina uppbyggingu gagna sem þeir þurfa og síðan taka við þeim frá netþjóninum í því sniði.
gRPC – API-samskiptaregla sem er afkastameiri en REST. Hún notar HTTP/2 og afkastaforskotiðtagsem býður upp á HTTP/1.1. Snið einstakra skilaboða er venjulega tvíundasnið og byggt á ProtoBuf, sem aftur skapar afköstaforskot.tagyfir REST og SOAP.

Topp 10 API öryggisráðstafanir árið 2023

Samsvarandi öryggisfærsla API frá 2019

API1:2023 – Heimild á biluðu hlutstigi

API1:2019 – Heimild á biluðu hlutstigi

API2:2023 – Biluð auðkenning

API2:2019 – Biluð notendavottun

API3:2023 – Heimild á eigindastigi bilaðra hluta

API3:2019–Óhófleg gagnaútsetning, API6:2019–Massaúthlutun

API4:2023 – Ótakmörkuð auðlindanotkun

API4:2019 – Skortur á úrræðum og hraðatakmörkunum

API5:2023 – Biluð heimild á virknistigi

API5:2019 – Biluð heimild á virknistigi

API6:2023 – Ótakmarkaður aðgangur að viðkvæmum viðskiptaflæði

API7:2023 – Fölsun beiðna á netþjónshlið

API8:2023 – Öryggisvillur API7:2019 – Öryggisvillur

API9:2023 – Óviðeigandi birgðastjórnun

API9:2019 – Óviðeigandi eignastýring

API10:2023 – Óörugg notkun forritaskila

API8:2019–Innspýting, API10:2019–Ófullnægjandi skráning og eftirlit

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

6/23

Forritarar og öryggisteymi forrita verða einnig að innleiða rétt getu til að staðfesta auðkenni notenda með auðkenningu.

API1:2023 – Heimild á biluðu hlutstigi
Hvað er það?
API-viðmót veita aðgang að þjónustu og gögnum með stöðluðum aðferðum. web beiðnir. Fyrirtæki setja innviði sína og gögn í óöruggan beinan aðgang þegar þessar eignir eru ekki vel verndaðar eða þegar heimildarstýringar eru illa innleiddar eða vantar. Brotnar heimildir á hlutstigi – einnig kallaðar óöruggar beinar hluttilvísanir (e. Insecure Direct Object Reference (IDOR)) – geta leitt til margvíslegrar áhættu, allt frá upplýsingagjöf gagna til fullrar yfirtöku reikninga.
Hvað gerir forrit viðkvæmt?
Þetta er útbreitt vandamál sem auðvelt er að nýta sér í dag web Forrit. Forrit eru viðkvæm ef þau leyfa notanda að grípa til aðgerða með því að tilgreina auðkenni í API án þess að athuga hvort hann hafi heimild til að framkvæma þessar aðgerðir.
Í fyrrvampEins og OWASP útskýrir gæti vettvangur fyrir netverslanir veitt aðgang að verslunargögnum með einföldu símtali:
/verslanir/{verslunarnafn}/tekjur_gögn.json
Þetta er óöruggt því hver notandi getur skipt út shopName fyrir nafn verslunar annars notanda og fengið aðgang að gögnum sem hann ætti ekki að hafa.
Árás fyrrverandiamples
Árið 2021 komst öryggisrannsakandi að því að web-forrita- og bakþjónar sem veittu gögn til Peloton æfingahjóla höfðu nokkra API-endapunkta sem leyfðu óviðurkenndum notendum aðgang að einkagögnum. Í febrúar 2021 innleiddi Peloton hluta af lagfæringu á vandamálinu, takmarkaði aðgang að API-inu við viðurkennda notendur, en leyfði samt þessum notendum aðgang að einkagögnum annarra meðlima. Full lagfæring kom í maí 2021.10
Hvernig á að koma í veg fyrir það sem forritari?
Forritarar koma í veg fyrir óöruggan aðgang að hlutum með því að framfylgja ströngum eftirliti, úthluta ófyrirsjáanlegum notendaauðkennum til að koma í veg fyrir upptalningu reikninga og athuga heimildir á hlutstigi fyrir hverja aðgerð sem nálgast gagnalind. Forritarar ættu að fella inn slíkar athuganir, sérstaklega ef þær byggjast á innslætti notenda, til að koma í veg fyrir að óviljandi villur geti grafið undan öryggi. Sérfræðingar í forritaöryggi og rekstri ættu að krefjast heimildarathugana fyrir hverja beiðni um bakgrunnsgögn.
Hvernig getur OpenText hjálpað?
Öryggisprófanir OpenTextTM (Static Application Security Testing, SAST) og Öryggisprófanir OpenTextTM (DAST) geta greint fjölbreytt úrval af veikleikum í flokknum Óörugg bein hluttilvísun (IDOR). IDOR getur innihaldið veikleika eins og möppuferð, File Hlaða upp, og File Aðild. Almennt séð nær IDOR einnig yfir flokka veikleika þar sem auðkenni
10. Masters, janúar. Tour de Peloton: Notendagögn afhjúpuð. Blogg Pen Test Partners. Pen Test Partners. Web Síða. 5. maí 2021.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

7/23

Forritarar og öryggisteymi forrita verða einnig að innleiða rétt getu til að staðfesta auðkenni notenda með auðkenningu.

hægt er að breyta með URL, meginmál eða hausbreytingar. Kerfið mun vara forritara við tilfellum þar sem notandinn getur valið aðallykilinn beint í API-beiðni fyrir gagnagrunn eða geymsluílát, sem er vandamál sem oft leiðir til þessa flokks veikleika. Kerfið mun einnig vara við þegar væntanleg heimildarathugun vantar.
API2:2023 – Biluð auðkenning
Hvað er það?
Heimildarathuganir takmarka aðgang að gögnum út frá tilteknum hlutverkum eða notendum, en þessar takmarkanir eru ekki nægjanlegar til að vernda kerfi, gögn og þjónustu. Forritarar og öryggisteymi forrita verða einnig að innleiða rétt getu til að athuga auðkenni notenda með auðkenningu. Þrátt fyrir mikilvægi auðkenningar eru íhlutirnir oft illa útfærðir eða notaðir á rangan hátt – sem er undirrót bilaðrar auðkenningar notenda. Biluð auðkenning notenda gerir árásarmönnum kleift að taka yfir auðkenni annarra notenda tímabundið eða varanlega með því að nýta sér óörugg auðkenningarmerki eða koma í veg fyrir galla í innleiðingu.
Hvað gerir forrit viðkvæmt?
Þetta algenga og auðnýtanlega vandamál kemur upp vegna þess að auðkenning er flókið ferli sem getur verið ruglingslegt og er, samkvæmt skilgreiningu, opinbert fyrir almenningi. Mistök forritara og rangar stillingar forrita geta leitt til skorts á nauðsynlegum athugunum sem gerir árásarmönnum kleift að forðast auðkenningu. Forritarar sem ekki innleiða auðkenningu fyrir tiltekna endapunkta eða leyfa veika auðkenningarkerfi verða forrit fyrir ýmsum árásum, svo sem auðkenningarþjófnaði, endurspilun tákna eða lykilorðsþjófnaði.
Árás fyrrverandiamples
Á milli febrúar og júní 2023 beindust árásir með því að nota persónuskilríki að fataversluninni Hot Topic, sem tilkynnti viðskiptavinum sínum að óþekktur fjöldi reikninga hefði verið í hættu. Árásarmennirnir – sem notuðu persónuskilríki sem safnað var úr óþekktum aðilum – gátu fengið aðgang að viðkvæmum persónuupplýsingum, svo sem nöfnum viðskiptavina, netföngum, pöntunarsögu, símanúmerum og fæðingarmánuði og -dögum.11
Í febrúar 2022 skildi rangstillt skýgeymslufötu eftir 1 GB af viðkvæmum gögnum frá tölvupóstmarkaðsþjónustunni Beetle Eye án lykilorðsverndar eða dulkóðunar. Gögnin innihéldu tengiliðaupplýsingar og ferðaþjónustuupplýsingar sem safnað var af ýmsum ferðaskrifstofum og ríkjum Bandaríkjanna.12 Rangstilltar auðkenningaraðferðir eru taldar vera afbrigði af flokknum „brotin notendaauðkenning“.
Hvernig á að koma í veg fyrir það sem forritari?
11 Toulas, Bill. Verslunarkeðjan Hot Topic greinir frá bylgju árása þar sem auðkennisupplýsingar voru stolnar. BleepingComputer. Frétt. 1. ágúst 2023.
12 Nair, Prajeet. Gögn 7 milljóna manna afhjúpuð í gegnum markaðssetningarvettvang Bandaríkjanna. Gögnaleki í dag. ISMG netið. 11. febrúar 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

8/23

Staðlun er vinur þinn fyrir auðkenningu. DevSecOps teymi ættu að búa til eina – eða takmarkaðan fjölda – auðkenningaraðferða fyrir forrit og tryggja að forritarar innleiði aðferðirnar á einsleitan hátt í öllum örþjónustum og API-um.

Staðlun er vinur þinn fyrir auðkenningu. DevSecOps teymi ættu að búa til eina – eða takmarkaðan fjölda – auðkenningaraðferða fyrir forrit og tryggja að forritarar innleiði aðferðirnar á sama hátt í öllum örþjónustum og API-um. Öll auðkenningarinnleiðing ætti að vera endurskoðuð.viewinnan ramma OWASP Application Security Verification Standard (ASVS), sem er nú í útgáfu 4 og 13, til að tryggja rétta innleiðingu og tengdra öryggisráðstafana. Öryggisteymið ætti að meta öll frávik frá staðlinum – sérstaklega öll vísvitandi birting óstaðfestra endapunkta – og aðeins leyfa þau til að uppfylla sterkar viðskiptakröfur.
Hvernig getur OpenText hjálpað?
OAuth og JWT eru tvær af algengustu gerðum auðkenningar sem notaðar eru til að útfæra API, og OpenText Dynamic Application Security Testing kannar veikar útfærslur beggja staðla í forritum, sem og rangstillingar og viðkvæm mynstur, eins og CSRF og Session Fixation, sem koma upp í sérsniðnum auðkenningarútfærslum. Skönnun með Dynamic Application Security Tool (DAST) með OpenText er frábær leið til að greina auðkenningarvarnarleysi, sérstaklega í API.
Öryggisprófanir OpenText Static Application Security Testing leyfa einnig fjölbreytt úrval athugana sem tengjast lélegri auðkenningu. Tólið fyrir stöðugreiningu felur í sér greiningu á almennum vandamálum – svo sem leka á innskráningarupplýsingum – sem og mjög API-sértækum vandamálum eins og vantar verndarkröfur í JWT-táknum eða kröfur sem koma upp í JWT-hausum.
API3:2023 – Heimild á eigindastigi bilaðra hluta
Hvað er það?
Heimildir á hlutareignarstigi (e. Brotið Object Property Level Authorization) eru nýjar í OWASP listanum frá 2023 sem sameinar tvo flokka frá fyrri lista: Óhófleg gagnavernd (e. Excessive Data Exposure, API3:2019) og fjöldaúthlutun (e. Mass Assignment, API6:2019). Vandamálið stafar af skorti á staðfestingu á heimild notanda – eða óviðeigandi heimild notanda – á hlutareignarstigi. API endapunktar ættu að staðfesta að hver notandi hafi heimild fyrir hverja eiginleika sem hann er að reyna að fá aðgang að eða breyta. Að nýta sér vandamálið getur leitt til upplýsingaverndar eða gagnabreytinga af hálfu óviðkomandi aðila.
Hvað gerir forrit viðkvæmt?
Algengt og auðvelt að nýta sér vandamálið kemur upp þegar notandi hefur heimild til að fá aðgang að sumum eiginleikum tiltekins hlutar, svo sem að bóka herbergi í ferðaforriti, en ekki öðrum, svo sem verði á herbergi. Þegar notandinn fær aðgang að eiginleikum hlutar í gegnum API ætti forritið að athuga hvort notandinn:
· Ætti að geta fengið aðgang að tiltekinni eign hlutarins
13 OWASP öryggisstaðall fyrir forrit. OWASP. GitHub síða. Síðast skoðað: 17. nóvember 2023.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

9/23

Heimildir á eignastigi brotins hlutar eru nýjar í OWASP-listanum frá 2023 sem sameinar tvo flokka frá fyrri lista: Óhófleg gagnavernd (API3:2019) og fjöldaúthlutun (API6:2019).
Öryggisprófanir á stöðluðum forritum í OpenTextTM hjálpa til við að koma í veg fyrir bæði óhóflega gagnavernd og fjöldaúthlutun með gagnaflæðisgreiningu. Kerfið mun varpa ljósi á margar heimildir einkagagna, svo sem þær sem byggja á breytunöfnum eða tilteknum API-köllum, og bera kennsl á hluti sem leyfa fjöldaúthlutun.

(brot voru áður þekkt sem óhófleg gagnavernd) og/eða
· Má breyta tilteknum eiginleikum hlutarins (sum forrit athuga þetta ekki vegna þess að þau nota ramma til að kortleggja sjálfkrafa web beiðni um breytur í hlutareiti, vandamál sem kallast fjöldaúthlutun).
Í OWASP fyrrverandiampe.h., netmyndbandsvettvangur gerir notanda kleift að breyta lýsingu á myndbandi, jafnvel lokuðu myndbandi, en ætti ekki að leyfa notandanum að breyta eiginleikanum „lokað“.
SETJA /api/myndband/uppfæra _ myndband
{
„lýsing“: „fyndið myndband um ketti“
„Lokað“: ósatt
}
Árás fyrrverandiamples
Í janúar 2022 uppgötvaði villuleitarforrit galla í Twitter sem gerði notanda kleift að senda netfang eða símanúmer inn í kerfi Twitter, sem síðan skilaði nafni reikningsins sem upplýsingarnar tilheyrðu.14 Óþekktur árásarmaður notaði gallann til að taka saman lista yfir milljónir notendareikninga sem tengjast símanúmerum og netföngum. Með því að leyfa hverjum sem er að tengja tvær eignir leyfði Twitter óvart að dulnefnir notendur væru nákvæmari.
Hvernig á að koma í veg fyrir það sem forritari?
Forritarar ættu alltaf að innleiða viðeigandi stýringar á getu til að fá aðgang að eða breyta tilteknum eiginleikum hluta. Í stað þess að skila almennri gagnaskipan með hverjum eiginleika – sem gerist oft með almennum aðferðum eins og to_json() og to_string() – ættu forritarar að vera mjög nákvæmir í því hvaða upplýsingar þeir skila. Sem auka öryggisráðstöfun ættu forrit að innleiða skemabundna svörunarstaðfestingu sem framfylgir öryggisstýringum á öllum gögnum sem API-aðferðir skila. Aðgangur ætti að fylgja meginreglunni um minnstu forréttindi, aðeins leyfa aðgang ef það er algerlega nauðsynlegt.
Hvernig getur OpenText hjálpað?
Öryggisprófanir á stöðluðum forritum í OpenTextTM hjálpa til við að koma í veg fyrir bæði óhóflega gagnaútsetningu og fjöldaúthlutun með gagnaflæðisgreiningu. Kerfið mun varpa ljósi á margar heimildir einkagagna, svo sem þær sem byggja á breytunöfnum eða tilteknum API-köllum, og bera kennsl á hluti sem leyfa fjöldaúthlutun. Notendur geta einnig skilgreint sínar eigin heimildir, fylgst með gögnum í gegnum forritið og ef þau enda á óviðeigandi stað, varað forritara eða rekstraraðila við áhættunni.

14 Atvik sem hafði áhrif á suma reikninga og persónuupplýsingar á Twitter. Persónuverndarmiðstöð Twitter. Twitter. Web Síða. 5. ágúst 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

10/23

Forrit sem takmarka ekki úthlutað minni til að uppfylla beiðni geta verið viðkvæm, þar á meðal þau sem ekki takmarka úthlutað minni, fjölda fileeða ferlar sem nálgast er, eða leyfilegur fjöldi beiðna, meðal annarra eiginleika.

Að auki býr OpenText SAST yfir þekkingu á mikilvægustu raðgreiningar- og afraðgreiningarferlum JSON og XML. Með þessu getur tólið greint kóða sem afraðar ekki lénsflutningshlutum (DTO) rétt, sem gæti leyft fjöldaúthlutun eiginleika hans. Einnig er hægt að greina sum tilfelli af upplýsingaúthlutun og fjöldaúthlutun með því að nota OpenText Dynamic Application Security Testing. Að lokum er hægt að innleiða mótvægisaðgerðir með því að bæta við reglum við... web forritsveggvegg (WAF).
API4:2023 – Ótakmörkuð auðlindanotkun
Hvað er það?
API-viðmót (API) afhjúpa marga gagnlega viðskiptavirkni. Til að gera það nota þau tölvuauðlindir eins og gagnagrunnsþjóna eða geta haft aðgang að efnislegum íhlutum í gegnum rekstrartækni. Þar sem kerfi hafa takmarkað magn auðlinda til að bregðast við API-köllum geta árásarmenn sérstaklega hannað beiðnir til að búa til aðstæður sem leiða til tæmingar auðlinda, þjónustuneitunar eða aukins rekstrarkostnaðar. Í mörgum tilfellum geta árásarmenn sent API-beiðnir sem binda verulegar auðlindir, ofhlaða vélar eða bandvídd og leiða til þjónustuneitunarárásar. Með því að senda endurteknar beiðnir frá mismunandi IP-tölum eða skýjatilvikum geta árásarmenn komist framhjá vörnum sem eru hannaðar til að greina grunsamlegar aukningar í notkun.
Hvað gerir forrit viðkvæmt?
Beiðnir um forritaskil (API) kalla fram svör. Hvort sem þessi svör fela í sér aðgang að gagnagrunni, framkvæmd inntaks/úttaks, keyrslu útreikninga eða (í auknum mæli) myndun úttaks úr vélanámslíkani, þá nota forritaskil (API) tölvuvinnslu, net og minnisauðlindir. Árásarmaður getur sent API beiðnir til endapunkts sem hluta af þjónustuneitunarárás (DoS) sem, frekar en að ofhlaða bandbreidd – markmið rúmmáls DoS árásar – tæmir í staðinn örgjörva, minni og skýjaauðlindir. Forrit sem takmarka ekki úthlutaðar auðlindir til að uppfylla beiðni geta verið viðkvæm, þar á meðal þau sem ekki takmarka úthlutað minni, fjölda ... fileeða ferlar sem nálgast er, eða leyfilegur fjöldi beiðna, meðal annarra eiginleika.
Vinnsluviðmótsskil (API) netþjónanna þurfa að hafa takmarkanir til að koma í veg fyrir óhóflega úthlutun minnis og vinnuálags, óhóflegar beiðnir um API-kveiktar aðgerðir eða óhófleg gjöld fyrir þjónustu þriðja aðila án útgjaldamarka.
Algeng árás er að breyta færibreytum sem sendar eru til API-endapunktsins, svo sem að auka stærð svarsins og biðja um milljónir gagnagrunnsfærslna, frekar en til dæmis fyrstu tíu:
/api/notendur?síða=1&stærð=1000000
Að auki, ef árásaraðilinn getur fengið aðgang að bakþjónustu sem rukkar fyrir notkun, geta árásir á auðlindanotkun verið notaðar til að auka gjöld fyrir eiganda forritsins.ampLe bendir á eiginleika til að endurstilla lykilorð sem notar SMS-skilaboð til að staðfesta auðkenni og sem gæti verið hringt í þúsundir skipta til að auka kostnað fórnarlambsins.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

11/23

Síun á jaðri netsins með því að nota efnisafhendingarnet (CDN) parað við web Forritavarnir (WAF) geta dregið úr umferðarflóðum og lágmarkað áhrif þeirra á einstaka notendur.

POST /sms/senda _ endurstilla _ lykilorð
Vél: willyo.net {
„símanúmer“: „6501113434“ }
Árás fyrrverandiamples
Þar sem árásir sem tengjast auðlindanotkun eru oft flokkaðar með vandamálum sem tengjast afköstum og framboði, hafa fyrirtæki sem beinast að þeim tilhneigingu til að meðhöndla þær sem hluta af rekstrarkostnaði, frekar en atvik sem þarf að tilkynna, sem dregur úr sýnileika á ógninni. Árið 2022 fækkaði hlutfalli allra árása (DDoS) á forritalaginu, sem eru hluti af API-árásum sem tengjast auðlindanotkun, en á fjórða ársfjórðungi 2022 voru samt 79% fleiri árásir en á sama ársfjórðungi árið áður.15
Í einni árás sem lýst var árið 2015 uppgötvaði forritari Android-biðlara sem hafði ítrekað samband við vefsíðu þeirra. Web API með handahófskenndum API-lyklum, sem leiddi til þjónustuneitunarárásar. Forritarinn setti fram þá tilgátu að illgjarn forrit sem var sett upp á Android tækjum væri að reyna að giska á 64-bita API-lykilinn.16
Hvernig á að koma í veg fyrir það sem forritari?
Með því að nota hraðatakmarkanir og þröskuld er hægt að dempa flestar árásir sem nota auðlindir, þó að illa smíðaðar varnir geti einnig haft áhrif á lögmæta umferð. Sérstök takmörk ættu að vera sett á:
· Minnisúthlutun
· Ferli
· Skýjatilvik
· Hlaðið upp file lýsingar og file stærð
· Skrár skilað
· Fjöldi greiddra færslna til þjónustu þriðja aðila
· Allar innkomandi breytur (t.d. strenglengdir, fylkilengdir o.s.frv.)
· Fjöldi API-viðskipta á hvern viðskiptavin innan tiltekins tímaramma
Síun á jaðri netsins með því að nota efnisafhendingarnet (CDN) parað við web Forritavarnir (e. application firewalls, WAFs) geta dregið úr umferðarflóðum og lágmarkað áhrif þeirra á einstaka notendur. Forritsafhendingarpallar leyfa auðvelda síun, þar á meðal takmarkanir á minni, örgjörvum og ferlum.
15 Yoachimik, Omer. Skýrsla um DDoS ógnir Cloudflare fyrir 4. ársfjórðung 2022. Cloudflare blogg. Web Síða. 10. janúar 2023.
16 Hvernig á að stöðva tölvuárás/DOS árás á web Forritaskil (API). StackOverflow. Web Síða. 15. september 2015.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

12/23

Öryggisprófun OpenText Dynamic Application Security Testing getur prófað netþjóna og API-virkni fyrir varnarleysi gagnvart þjónustuneitunarárásum án þess að hafa áhrif á þjónustuna. Að auki getur sjálf keyrsla DAST-skönnunar gert nægilega álagspróf á umhverfi til að sýna hugsanlega veikleika í auðlindanotkun.

Hvernig getur OpenText hjálpað?
Með OpenText SAST og OpenText Dynamic Application Security Testing geta DevSecOps teymi prófað kóða sinn og innviði til að tryggja þol gegn árásum vegna auðlindatæmingar. OpenText SAST getur greint mörg svið þar sem árásaraðili gæti misnotað forritsrökfræði til að skapa mikla auðlindanotkun.
Öryggi á kóðastigi er ekki nægilegt til að takast á við þetta vandamál í forritinu. Þreyta auðlinda og hraðatakmarkanir eru sérstakir undirþættir þjónustuneitunarárása sem ætti að draga úr á keyrslutíma. OpenText Dynamic Application Security Testing getur prófað netþjóna og API-virkni fyrir varnarleysi gagnvart þjónustuneitunarárásum án þess að hafa áhrif á þjónustuna. Að auki getur sjálf keyrsla DAST-skönnunar framkvæmt nægilega álagspróf á umhverfi til að sýna hugsanlega veikleika í auðlindanotkun.
API5:2023 – Biluð heimild á virknistigi
Hvað er það?
Nútímaforrit hafa marga mismunandi virkni sem fá aðgang að, búa til, vinna með, eyða og stjórna gögnum. Ekki þurfa allir notendur forritsins aðgang að öllum virkni eða öllum gögnum, né ætti það að vera leyfilegt samkvæmt meginreglunni um minnstu forréttindi. Sérhver API-endapunktur hefur sinn markhóp sem getur verið nafnlaus, venjulegur notandi án forréttinda og notendur með forréttindi. Stjórnunar- og stjórnunarvirkni ætti að krefjast forréttindaheimilda, en er stundum aðgengileg í gegnum lögmæt API-köll frá notendum án heimildar – sem er uppruni „brotinna virknistigsheimilda“. Vegna þess að mismunandi stigveldi, hópar og hlutverk skapa flækjustig í aðgangsstýringum, gætu forritsvirkni ekki haft viðeigandi takmarkanir á því hverjir mega kalla á þær.
Hvað gerir forrit viðkvæmt?
Forrit sem leyfa tilteknum aðgerðum að framkvæma stjórnunarverkefni geta ekki takmarkað aðgang að þessum aðgerðum á öruggan hátt. Forritaskil (API) sem tengjast beint slíkum aðgerðum munu gera þessa veikleika berskjaldaða fyrir misnotkun. Aðgerðir sem nota ekki auðkenningar- og heimildarkerfi forritsins ættu að teljast hugsanlegir öryggisveikir.
Í fyrrvampEins og OWASP vitnar í fær árásarmaður aðgang að API-beiðnum um að bæta við boðnum notanda í nýtt farsímaforrit og tekur eftir því að boðið inniheldur upplýsingar um hlutverk boðsgestsins. Árásarmaðurinn nýtir sér veikleikann og sendir nýtt boð:
POST /api/boð/nýtt
{
„netfang“: „árásaraðili@somehost.com“
„hlutverk“: „stjórnandi“
} Þetta gerir þeim kleift að fá stjórnunarréttindi á kerfinu.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

13/23

DevSecOps teymi ættu að hanna staðlaða aðferð við heimildir og auðkenningu sem kemur í veg fyrir aðgang að beiðnum sjálfgefið og framfylgir sjálfgefnu „hafna öllu“.
Forritstýring og rökfræðiflæði eru kjarninn í öllum netfyrirtækjum og þegar fyrirtæki færa meiri hluta starfsemi sinnar yfir í skýið geta þessi flæði orðið fyrir áhrifum og verið misnotuð. Þessi óhóflega aðgangur getur skaðað fyrirtækið.

Árás fyrrverandiamples
Árið 2022 tilkynnti tryggingamálaráðuneyti Texas almenningi að upplýsingar um næstum tvær milljónir Texana hefðu verið afhjúpaðar í gegnum hluta af umsókn um starfsmannabætur sem gerði almenningi óvart kleift að fá aðgang að vernduðum gögnum.17 Í öðru atviki árið 2022 viðurkenndi ástralska fjarskiptafyrirtækið Optus að persónuupplýsingar og reikningsupplýsingar um allt að 10 milljónir Ástrala hefðu verið afhjúpaðar af forritaskilum sem ekki krafðist neinnar auðkenningar eða heimildar. Þótt Optus hafi kallað árásina „flókna“ lýsti öryggissérfræðingur sem þekkti til smáatriða árásarinnar henni sem „ómerkilegri“.18
Hvernig á að koma í veg fyrir það sem forritari?
DevSecOps teymi ættu að hanna staðlaða nálgun á auðkenningu og heimildum sem kemur í veg fyrir aðgang að beiðnum sjálfgefið og framfylgir sjálfgefnu „hafna öllum“. Út frá þessu sjálfgefna gildi skal alltaf beita meginreglunni um minnstu réttindi þegar aðgangur fyrir hlutverk/hópa/notendur er ákvarðaður. Forritarar ættu að tryggja að auðkenning og heimild séu til staðar fyrir allar viðeigandi HTTP sagnir/aðferðir (t.d. POST, GET, PUT, PATCH, DELETE) sem tengjast hverjum API-endapunkti. Óviðeigandi sagnir ættu að vera bannaðar. Að auki ættu forritarar að útfæra grunnklasa fyrir stjórnunaraðgang og stjórnun, með því að nota klasaerfðir til að tryggja að heimildarstýringar athugi hlutverk notandans áður en aðgangur er veittur. Allar mikilvægar stjórnunaraðgerðir ættu að nota heimildarkerfið til að koma í veg fyrir aukningu réttinda.
Hvernig getur OpenText hjálpað?
Með því að sameina stöðugan kóða og API greiningareiginleika OpenTextTM Static Application Security Testing við keyrslutímaathuganir OpenText Dynamic Application Security Testing (DAST) pakkans geta DevSecOps teymi metið forrit sín fyrir vandamál með bilaðar heimildir á virknistigi og stöðugt prófað framleiðslukóða fyrir öryggisgalla áður en hann er settur upp. Til að greina vandamál með bilaðar heimildir fyrir hlutvirkni notar OpenTextTM Static Application Security Testing reglur sem tilgreina hvenær heimildarathugun væri væntanleg í ákveðnum forritunarmálum og ramma, og hvort slík athugun sé ekki til staðar er tilkynnt.
API6:2023 – Ótakmarkaður aðgangur að viðkvæmum viðskiptaflæði
Hvað er það?
Frá sneakerbots til miðabots hafa árásir á birgðir netverslana í gegnum API þeirra orðið verulegt vandamál fyrir netverslunarsíður. Með því að skilja viðskiptamódelið og forritarökfræði getur árásarmaður búið til röð API-kalla sem geta sjálfkrafa bókað eða keypt.
17 Beeferman, Jason. Persónuupplýsingar 1.8 milljóna Texasbúa með kröfur til Tryggingastofnunarinnar voru afhjúpaðar í mörg ár, samkvæmt endurskoðun. The Texas Tribune. 17. maí 2022.
18 Taylor, Josh. Gagnabrot hjá Optus: allt sem við vitum hingað til um hvað gerðist. The Guardian. 28. september 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

14/23

Að koma í veg fyrir óheftan aðgang að viðkvæmum viðskiptaflæði snýst meira um heildræna nálgun á öryggi forrita og minna um að finna tiltekna tækni.

birgðir, sem kemur í veg fyrir að aðrir, lögmætir neytendur fái aðgang að vörum eða þjónustu fyrirtækjanna. Sérhvert API sem veitir aðgang að viðskiptaferli getur verið notað af árásarmanni til að hafa áhrif á viðskiptin og fellur undir skilgreininguna á ótakmörkuðum aðgangi að viðkvæmum viðskiptaflæði.
Hvað gerir forrit viðkvæmt?
Forritsstýring og rökfræðiflæði eru kjarninn í öllum netfyrirtækjum og þegar fyrirtæki færa meiri hluta starfsemi sinnar yfir í skýið geta þessi flæði orðið fyrir áhrifum og verið nýtt. Þessi óhóflega aðgangur getur skaðað fyrirtækið þegar árásarmenn sjálfvirknivæða kaup á vörum, búa til vélmenni til að skilja eftir athugasemdir og endurtaka.views, eða sjálfvirknivæða bókun á vörum eða þjónustu.
Ef forrit býður upp á endapunkt sem hefur aðgang að viðskiptaflæði fyrirtækisins án þess að takmarka aðgang að viðskiptastarfsemi á bak við endapunktinn, þá verður forritið viðkvæmt. Verndir fela í sér að takmarka fjölda aðgangstilrauna frá einu tæki með fingrafarafræðum, greina hvort virknin stafi af mannlegum aðila og greina hvort sjálfvirkni sé að ræða.
Árás fyrrverandiamples
Þegar miðar á Taylor Swift fóru í sölu á Ticketmaster í nóvember 2022 höfðu 1.5 milljónir viðskiptavina skráð sig fyrirfram, en meira en 14 milljónir beiðna – þar á meðal þrefalt meiri umferð frá vélmennum – bárust.ampbreytti kauptenglunum og forritaskilunum um leið og miðasala hófst. Síðan hrundi og kom í veg fyrir að margir viðskiptavinir gætu keypt miða.19
Árás endursöluvélmenna líktist þeim sem eyðilögðu útgáfu PlayStation 5 í nóvember 2020. Vandamál í framboðskeðjunni höfðu þegar takmarkað framboð fyrir útgáfu nýjustu leikjatölvunnar frá Sony, en sjálfvirku vélmennin gerðu það enn erfiðara að finna tiltæk tæki og leiddu til stjarnfræðilegra endursöluverða. Í tilviki einnar netverslunarsíðu jókst fjöldi „bæta í körfu“ færslna úr að meðaltali 15,000 beiðnum á klukkustund í meira en 27 milljónir, með því að nota API verslunarinnar til að biðja beint um vörur eftir vörunúmeri.20
Hvernig á að koma í veg fyrir það sem forritari?
Forritarar ættu að vinna með bæði rekstrar- og verkfræðiteymum til að taka á vandamálum sem tengjast hugsanlegum illgjarnum aðgangi að viðskiptaflæði. Rekstrarteymi geta greint hvaða flæði eru berskjölduð í gegnum API og framkvæmt ógnargreiningar til að ákvarða hvernig árásarmenn gætu misnotað þessa endapunkta. Á sama tíma ættu forritarar að vinna með verkfræðideild sem hluti af DevOps teymi til að koma á fót frekari tæknilegum varnarráðstöfunum, svo sem að nota fingrafar tækja til að koma í veg fyrir að sjálfvirk vafratilvik yfirþyrmi og bera kennsl á hegðunarmynstur sem aðgreina á milli manna og véla.
19 Steele, Billy. Ticketmaster veit að það á við vandamál með vélmenni að stríða en vill að þingið lagi það. Engadget. Frétt. 24. janúar 2023.
20 Muwandi, Tafara og Warburton, David. Hvernig vélmenni eyðilögðu útgáfu PlayStation 5 fyrir milljónir leikmanna. F5 Labs blogg. F5. Web Síða. 18. mars 2023.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

15/23

Þekktasta fyrrverandiampEinkennandi fyrir SSRF árás var að fyrrverandi Amazon-fyrirtæki. Web Þjónustuverkfræðingur (AWS) sem nýtti sér rangt stillt forrit web forritaeldvegg (WAF) til að nota síðan SSRF-galla til að safna gögnum frá netþjóni sem tilheyrir fjármálarisanum Capital One.

Aðgerðarteymi ættu einnig að endurskoðaview öll forritaskil sem eru hönnuð til notkunar af öðrum vélum, svo sem fyrir notkunartilvik fyrir fyrirtæki (B2B), og tryggja að einhverjar varnir séu til staðar til að koma í veg fyrir að árásarmenn geti nýtt sér samskipti milli véla.
Hvernig getur OpenText hjálpað?
Að greina viðkvæm og viðkvæm viðskiptaflæði byggist oft á því að gera grunnatriðin. Fyrirtæki þurfa að skrá og fylgjast með öllum virkandi forritaskilum sínum og ákvarða hvaða forrit gera viðkvæm ferli og gögn afhjúpuð fyrir hugsanlega árásarmenn. Einnig þarf að greina rökfræði forrita til að finna galla í rökfræði sem árásarmenn gætu nýtt sér.
Í heildina snýst það að koma í veg fyrir ótakmarkaðan aðgang að viðkvæmum viðskiptaflæði frekar um heildræna nálgun á öryggi forrita og minna um að finna tiltekna tækni.
API7:2023 – Fölsun beiðna á netþjónshlið
Hvað er það?
Bakþjónar meðhöndla beiðnir sem berast í gegnum API-endapunkta. Server-Side Request Forgery (SSRF) er veikleiki sem gerir árásarmanni kleift að fá netþjón til að senda beiðnir fyrir þeirra hönd og með réttindastigi netþjónsins. Oft notar árásin netþjóninn til að brúa bilið á milli ytri árásarmannsins og innra netsins. Einfaldar SSRF-árásir leiða til þess að svar er skilað til árásarmannsins, sem er mun auðveldara en blindar SSRF-árásir, þar sem ekkert svar er skilað og árásarmaðurinn fær enga staðfestingu á því hvort árásin hafi tekist.
Hvað gerir forrit viðkvæmt?
Gallar í Server-Side Request Forgery (SSRF) eru í raun afleiðing af skorti á staðfestingu á inntaki frá notendum. Árásarmenn geta búið til beiðnir og sett inn vefslóð (URI) sem veitir aðgang að viðkomandi forriti.
Nútímahugtök í forritaþróun, svo sem webKrókar og stöðluð forritaramma gera SSRF algengari og hættulegri, samkvæmt OWASP.
Í fyrrvampvitnað í OWASP, samfélagsmiðli sem gerir notendum kleift að hlaða upp myndumfile Myndir gætu verið viðkvæmar fyrir SSRF ef netþjónninn staðfestir ekki breytur sem sendar eru til forritsins. Frekar en a URL að benda á mynd, eins og:
POST /api/profile/hlaða inn mynd
{
„mynd _ url„: „http://ex“ample.com/profile _ mynd.jpg“
}
Árásarmaður gæti sent URI sem gæti ákvarðað hvort tiltekin port sé opin með eftirfarandi API-kall:
{ „mynd _ url„: „staðbundinn gestgjafi: 8080“
}

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

16/23

Öryggisröskun felur í sér að setja upp forrit með viðkvæmum sjálfgefnum stillingum, leyfa of óhóflegan aðgang að viðkvæmum aðgerðum og gögnum og birta upplýsingar um forrit opinberlega með ítarlegum villuskilaboðum.

Jafnvel í tilviki blinds SSRF gæti árásarmaður fundið út hvort tengið sé opið með því að mæla tímann sem það tekur að fá svar.
Árás fyrrverandiamples
Þekktasta fyrrverandiampEinkennandi fyrir SSRF árás var að fyrrverandi Amazon-fyrirtæki. Web Þjónustuverkfræðingur (AWS) sem nýtti sér rangt stillt forrit web forritseldvegg (WAF) til að nota síðan SSRF-galla til að safna gögnum frá netþjóni sem tilheyrir fjármálarisanum Capital One. Atvikið, sem átti sér stað í júlí 2019, leiddi til þess að gögnum frá um það bil 100 milljónum bandarískra ríkisborgara og sex milljónum kanadískra ríkisborgara var stolið.21 Amazon telur að rangstillingin sé uppspretta brotsins, frekar en SSRF-galla.22
Í október 2022 tilkynnti skýjaöryggisfyrirtæki Microsoft um fjórar SSRF-galla í flaggskipsskýjapalli fyrirtækisins, Azure. Hver galli hafði áhrif á mismunandi Azure-þjónustu, þar á meðal Azure Machine Learning-þjónustuna og Azure API Management-þjónustuna.23
Hvernig á að koma í veg fyrir það sem forritari?
Forritarar ættu að fella inn aðferðirnar sem sækja auðlindir í kóða sinn, einangra eiginleikann og bæta við verndum til að staðfesta allar beiðnir. Þar sem slíkir eiginleikar eru venjulega notaðir til að sækja fjartengdar auðlindir en ekki innri, ættu forritarar að stilla innbyggðu eiginleikana til að nota lista yfir leyfilegar fjartengdar auðlindir og loka fyrir tilraunir til að fá aðgang að innri auðlindum. HTTP-tilvísun ætti að vera óvirk fyrir aðgerðir sem sækja auðlindir og allar beiðnir sem eru greindar fyrir skaðlegan kóða.
Ekki er alltaf hægt að útrýma alveg hættunni á veikleikum í SSRF, þannig að fyrirtæki ættu að íhuga vandlega áhættuna af því að nota köll á utanaðkomandi auðlindir.
Hvernig getur OpenText hjálpað?
Öryggisprófanir OpenText Dynamic Application Security Testing gera DevSecOps teymum kleift að prófa reglulega fyrir falsaðar beiðnir á netþjónshliðinni. Öryggisprófanir OpenTextTM Dynamic Application Security Testing skannar forritaþjón í stilltu umhverfi þannig að hægt sé að prófa alla íhluti - forrit, netþjón og net - og gefa þannig kraftmikla greiningarpallinum ítarlegt yfirlit yfir... view áhrifa beiðna frá netþjónum.
OpenText SAST getur greint mörg tilfelli af SSRF með mengunargreiningu – til dæmisampef forritið notar ógildan notendaupptöku til að smíða URL sem verður þá sótt. Tólið mun merkja notkun ótakmarkaðra notendaupptaka.

21 Upplýsingar um netatvikið í Capital One. Ráðgjöf frá Capitol One. Web Síða. Uppfært 22. apríl 2022.
22 Ng, Alfred. Amazon segir öldungadeildarþingmönnum að það beri ekki ábyrgð á innbroti hjá Capital One. CNET News.com. Frétt. 21. nóvember 2019.
23 Shitrit, Lidor Ben. Hvernig Orca fann öryggisgalla í fölsuðum beiðnum á netþjónshliðinni (SSRF) í fjórum mismunandi Azure þjónustum. Öryggisblogg Orca. Web Síða. 17. janúar 2023.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

17/23

Öryggi sem kóði getur hjálpað með því að gera stillingar endurteknar og gefa öryggisteymum forrita möguleika á að setja upp staðlaðar stillingar fyrir tiltekna forritaíhluti.

API8:2023 – Öryggisvillur
Hvað er það?
Forritarar stilla oft forrit sín rangt, aðgreina ekki þróunareignir frá framleiðslueignum og flytja út viðkvæmar upplýsingar. files–sú stilling files–í opinberum gagnasöfnum sínum og vanræksla á að breyta sjálfgefnum stillingum. Öryggisröskun felur í sér að setja upp forrit með viðkvæmum sjálfgefnum stillingum, leyfa of óhóflegan aðgang að viðkvæmum aðgerðum og gögnum og birta upplýsingar um forrit opinberlega með ítarlegum villuboðum.
Hvað gerir forrit viðkvæmt?
Sjálfgefnar forritastillingar eru oft of eftirlátssamar, skortir öryggisstyrkingu og skilja skýgeymslur eftir opnar almenningi. Oft er web Rammar sem forrit byggja á innihalda fjölda eiginleika forritsins sem eru óþarfir og sem draga úr öryggi.
Í fyrrvampOWASP útskýrir nánar samfélagsmiðil sem býður upp á bein skilaboðaaðgerð og ætti að vernda friðhelgi notenda, en býður upp á API-beiðni til að sækja tiltekið samtal með eftirfarandi t.d.ampAPI beiðnin:
SÆKJA /dm/user_updates.json?conversation_id=1234567&cursor=GRlFp7LCUAAAA
API-endapunkturinn takmarkar ekki gögnin sem eru geymd í skyndiminninu, sem leiðir til þess að einkasamtöl eru geymd í skyndiminninu af web vafra. Árásarmenn gætu sótt upplýsingarnar úr vafranum og þannig afhjúpað einkaskilaboð fórnarlambsins.
Árás fyrrverandiamples
Í maí 2021 tilkynnti skýjaöryggisfyrirtæki Microsoft að að minnsta kosti 47 mismunandi viðskiptavinir hefðu ekki breytt sjálfgefnum stillingum á tilfellum sínum af Microsoft Power Apps. Meðal fyrirtækjanna sem urðu fyrir áhrifum voru fyrirtæki eins og American Airlines og Microsoft, og ríkisstjórnir eins og Indiana og Maryland, og 38 milljónir færslna voru hugsanlega í hættu á að verða fyrir barðinu á Power Apps gáttunum.24
Árið 2022 uppgötvaði fyrirtæki sem sérhæfir sig í varnarleysi að 12,000 skýjatilvik voru hýst á Amazon. Web Þjónusta og 10,500 sem hýst eru á Azure héldu áfram að afhjúpa Telnet, fjaraðgangssamskiptareglu sem talin er „óviðeigandi fyrir alla netnotkun í dag“, samkvæmt skýrslu frá árinu 2022.25 Innifalið óþarfa og óöruggra eiginleika grafar undan öryggi API-viðmóta og forrita.

24 Upguard rannsóknir. Með hönnun: Hvernig sjálfgefin heimildir í Microsoft Power Apps afhjúpuðu milljónir. Upgard rannsóknarblogg. Web Síða. 23. ágúst 2021.
25 Beardsley, Todd. Skýrsla um misstillingar í skýinu 2022. Rapid7. PDF skýrsla. bls. 12. 20. apríl 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

18/23

Blindblettur í skjölun er þegar upplýsingar um tilgang, virkni og útgáfustjórnun API eru óljósar vegna skorts á skjölun sem ítarlega útskýra þessa mikilvægu eiginleika.

Hvernig á að koma í veg fyrir það, forritari?
DevSecOps teymi þurfa að skilja nauðsynleg skref til að búa til öruggar stillingar fyrir forrit sín og nota sjálfvirka þróunarleiðslu til að athuga stillingar. filefyrir uppsetningu, þar á meðal reglulegar einingaprófanir og keyrslutímaathuganir til að athuga stöðugt hvort hugbúnaðurinn sé í stillingarvillum eða öryggisvandamálum. Öryggi sem kóði getur hjálpað með því að gera stillingar endurteknar og gefa öryggisteymum forrita möguleika á að setja upp staðlaðar stillingar fyrir tiltekna forritaíhluti.
Sem hluti af öruggri þróunarferli sínum ættu forritarar og rekstrarteymi að:
· Koma á fót herðingarferli sem einfaldar endurtekna gerð og viðhald öruggs forritaumhverfis,
· Afturview og uppfæra allar stillingar í API-staflanum til að fella nýja staðalinn á samræmdan hátt inn, og
· Sjálfvirknivæddu mat á virkni stillinganna í öllum umhverfum.
Hvernig getur OpenText hjálpað?
Öryggisprófanir OpenText Static Application Security Testing geta athugað stillingar meðan á þróunarferlinu stendur og komið auga á margs konar veikleika. Þar sem öryggisvillur eiga sér stað bæði á forritakóðastigi og á innviðastigi er hægt að nota mismunandi OpenText vörur til að greina villur.
Öryggisprófanir OpenText Static Application Security Testing geta athugað hvort forritakóði sé rangstilltur. Við stöðluðu greiningarprófunina getur OpenText SAST metið stillingar. filefyrir öryggisvillur, þar á meðal þær sem eru fyrir Docker, Kubernetes, Ansible, Amazon Web Þjónustu-, CloudFormation-, Terraform- og Azure Resource Manager-sniðmát.
Stillingarvillur geta einnig komið upp á meðan keyrslu stendur. Öryggisprófun OpenText Dynamic Application Security gerir DevSecOps teymum kleift að prófa reglulega fyrir algengar öryggisvillur. Einn af stærstu kostum DAST skönnunar er að hún keyrir á forritaþjóninum í stilltu umhverfi, sem þýðir að allt umhverfið - forrit, þjónn og net - er prófað í einu, sem gefur kraftmiklu greiningarkerfinu alhliða yfirsýn. view framleiðsluumhverfisins er stillt.
API9:2023 – Óviðeigandi birgðastjórnun
Hvað er það?
Eins og flest hugbúnaðareignir hafa forritaskil (API) líftíma, þar sem eldri útgáfur eru skipt út fyrir öruggari og skilvirkari API eða, í auknum mæli, nota API tengd þjónustu þriðja aðila. DevSecOps teymi sem viðhalda ekki API útgáfum sínum og skjölum geta valdið veikleikum þegar eldri, gallaðar API útgáfur eru áfram notaðar - veikleiki sem kallast óviðeigandi birgðastjórnun. Bestu starfshættir við birgðastjórnun krefjast þess að fylgst sé með...

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

19/23

API útgáfur, reglulegt mat og skráning á samþættum þjónustum og regluleg úrelting eldri útgáfa til að koma í veg fyrir útbreiðslu öryggisgalla.
Hvað gerir forrit viðkvæmt?
Hugbúnaðararkitektúr sem treystir á API – sérstaklega þeir sem nota örþjónustuarkitektúr – hefur tilhneigingu til að afhjúpa fleiri endapunkta en hefðbundnir web forrit. Fjöldi API-endapunkta, ásamt líkum á að margar útgáfur af API séu til staðar á sama tíma, krefst viðbótar stjórnunarauðlinda frá API-veitunni til að koma í veg fyrir vaxandi árásarflöt. OWASP greinir tvo helstu blinda bletti sem DevSecOps teymi gætu haft varðandi API-innviði sína.
Í fyrsta lagi er blindpunktur í skjölun þegar upplýsingar um tilgang, virkni og útgáfustjórnun API eru óljósar vegna skorts á skjölun sem ítarlega útskýrir þessa mikilvægu eiginleika.
Í öðru lagi myndast blindpunktur í gagnaflæði þegar API-viðmót eru notuð á óskýran hátt, sem leiðir til eiginleika sem ættu ekki endilega að vera leyfðir án sterkra viðskiptalegra réttlætinga. Að deila viðkvæmum gögnum með þriðja aðila án öryggisábyrgða, ​​skortur á yfirsýn yfir lokaniðurstöður gagnaflæðis og að ekki tekst að kortleggja öll gagnaflæði í keðjuðum API-viðmótum eru allt blindpunktar.
Sem fyrrverandiampÍ skýrslu OWASP er vitnað í uppspunnið samfélagsmiðil sem gerir kleift að samþætta við sjálfstæð forrit þriðja aðila. Þó að samþykki notenda sé krafist, þá hefur samfélagsmiðillinn ekki næga yfirsýn yfir gagnaflæðið til að koma í veg fyrir að aðilar fái aðgang að gögnunum, svo sem með því að fylgjast með virkni ekki aðeins notandans heldur einnig vina hans.
Árás fyrrverandiamples
Árin 2013 og 2014 tóku allt að 300,000 manns þátt í sálfræðispurningakeppni á netinu á Facebook. Fyrirtækið á bak við spurningakeppnina, Cambridge Analytica, safnaði ekki aðeins upplýsingum um þessa notendur heldur einnig um vini þeirra sem þeir tengdu við – hóp sem telur allt að 87 milljónir manna, og langflestir þeirra gáfu ekkert leyfi til að upplýsingar þeirra yrðu safnaðar. Fyrirtækið notaði síðan upplýsingarnar til að sníða auglýsingar og skilaboð að þessu fólki fyrir hönd viðskiptavina sinna, þar á meðal að senda pólitískar auglýsingar til stuðnings stjórnartíð Trumps.ampsigur í kosningunum 2016.26 Skortur á yfirsýn Facebook yfir hvernig þriðju aðilar notuðu upplýsingarnar sem safnað var af vettvangi þess er dæmi umampvegna óviðeigandi birgðastjórnunar.
Hvernig á að koma í veg fyrir það sem forritari?
DevSecOps teymi ættu að skrá alla API-hýsingaraðila og einbeita sér að því að viðhalda yfirsýn yfir gagnaflæði milli API-a og þjónustu þriðja aðila. Helsta leiðin til að koma í veg fyrir óviðeigandi birgðastjórnun er ítarleg skráning á mikilvægum þáttum allra API-þjónustu og hýsingaraðila, þar á meðal upplýsingum um hvaða gögn þeir meðhöndla, hverjir hafa aðgang að hýsingunum og gögnunum,
26 Rosenberg, Matthew og Dance, Gabriel. „Þú ert varan“: Markmið Cambridge Analytica á Facebook. The New York Times. Frétt. 8. apríl 2018.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

20/23

Fyrirtæki geta stjórnað, fylgst með, tryggt og skjalfest notkun sína á API með því að nota OpenText Secure API Manager frá OpenText, sem gerir öryggisteymum forrita kleift að viðhalda uppfærðu yfirliti yfir API-eignir.

og tilteknar API útgáfur hvers hýsingaraðila. Tæknilegar upplýsingar sem ættu að vera skjalfestar eru meðal annars útfærsla auðkenningar, villumeðhöndlun, varnir gegn hraðatakmörkunum, stefnu um samnýtingu auðlinda milli uppruna (CORS) og upplýsingar um hvern endapunkt.
Það er erfitt að stjórna handvirkt því umfang skjala er svo mælt er með því að búa til skjöl með samfelldri samþættingu og nota opna staðla. Aðgangur að API-skjölum ætti einnig að vera takmarkaður við þá forritara sem hafa heimild til að nota API-ið.
Á meðan forrit eru smíðuð og prófuð ættu forritarar að forðast að nota framleiðslugögn við þróun eða prófun.tagútgáfur af forritinu til að koma í veg fyrir gagnaleka. Þegar nýjar útgáfur af API-um eru gefnar út ætti DevSecOps teymið að gera áhættugreiningu til að ákvarða bestu aðferðina við að uppfæra forrit til að nýta sértage af auknu öryggi.
Hvernig getur OpenText hjálpað?
Fyrirtæki geta stjórnað, fylgst með, tryggt og skjalfest notkun sína á API með OpenTextTM Secure API Manager, sem gerir öryggisteymum forrita kleift að viðhalda uppfærðu skrá yfir API-eignir. OpenText Secure API Manager býður upp á áreiðanlegt geymslurými þar sem DevSecOps teymið þitt getur geymt og stjórnað öllum API-um sem fyrirtækið notar, sem gerir kleift að stjórna líftíma frá API-þróun til niðurfellingar. Hugbúnaðurinn hjálpar til við að bæta samræmi við reglugerðir og leyfisveitingar með því að leyfa ítarlegar greiningar.
API10:2023 – Óörugg notkun forritaskila
Hvað er það?
Með aukinni notkun innbyggðra skýjainnviða til að búa til forrit hafa forritaskil (API) orðið að samþættingarpunkti milli forritaþátta. Hins vegar er öryggisstaða þjónustu þriðja aðila sem aðgengileg er í gegnum forritaskil sjaldan ljós, sem gerir árásarmönnum kleift að ákvarða hvaða þjónustu forrit treystir á og hvort einhverjar af þessum þjónustum hafi öryggisgalla. Forritarar hafa tilhneigingu til að treysta endapunktunum sem forrit þeirra hefur samskipti við án þess að staðfesta ytri eða þriðja aðila forritaskil. Þessi óörugga notkun forritaskila leiðir oft til þess að forrit treysta á þjónustu sem hafa veikari öryggiskröfur eða skortir grundvallaröryggisherðingu, svo sem inntaksstaðfestingu.
Hvað gerir forrit viðkvæmt?
Forritarar hafa tilhneigingu til að treysta gögnum sem berast frá þriðja aðila API frekar en inntaki notenda, þó að þessar tvær heimildir séu í raun jafngildar fyrir hvatvísan árásarmann. Vegna þessa misheppnaða trausts enda forritarar í raun á að reiða sig á veikari öryggisstaðla vegna skorts á staðfestingu og hreinsun inntaks.
Óörugg notkun forritaskila (API) getur átt sér stað ef forritið:
· Notar eða notar önnur forritaskil með því að nota ódulkóðaðar samskipti,
· Tekst ekki að sannreyna og hreinsa gögn úr öðrum forritaskilum eða þjónustum,
· Leyfir áframsendingu án nokkurra öryggisathugana, eða

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

21/23

Ef forritarinn kóðar ekki öryggisathuganir í forritið sitt til að staðfesta öll gögn sem API-endapunkturinn skilar, mun forritið fylgja tilvísuninni og senda viðkvæmar læknisfræðilegar upplýsingar til árásarmannsins.
OWASP API öryggislistinn, 10 efstu listar, er mikilvægur fyrir forritara sem eru að smíða forritaskil í skýinu. Hins vegar ætti forgangsverkefni að taka á algengum veikleikum í forritum eins og SQL innspýtingu, gagnavernd og rangri stillingu öryggis, þar sem netógnir nýta sér þau oft. 10 efstu listar API öryggislistans eru nauðsynlegur þáttur í öruggri hugbúnaðarþróun en ættu að vera aukaatriði í samanburði við almenna veikleika í forritum.

· Takst ekki að takmarka auðlindanotkun með þröskuldum og tímamörkum.
Í fyrrvampSamkvæmt OWASP skýrslunni gæti forritaskil (API) sem samþættist við þriðja aðila þjónustuaðila til að geyma viðkvæmar læknisfræðilegar upplýsingar notenda sent persónuupplýsingar í gegnum API endapunkt. Árásarmenn gætu komið í veg fyrir að þriðja aðila API hýsingaraðilinn svari framtíðarbeiðnum með 308 Permanent Redirect: HTTP/1.1 308 Permanent Redirect
Staðsetning: https://attacker.com/
Ef forritarinn kóðar ekki öryggisathuganir í forritið sitt til að staðfesta öll gögn sem API-endapunkturinn skilar, mun forritið fylgja tilvísuninni og senda viðkvæmar læknisfræðilegar upplýsingar til árásarmannsins.
Árás fyrrverandiamples
Í desember 2021 komu upp veikleikar í algengum hugbúnaðarhluta, Log4J, sem gerðu árásarmanni kleift að veita óhreinsað inntak, svo sem dulkóðað forskrift, og nota viðkvæmar útgáfur af Log4J til að keyra forskriftina á netþjóninum. Vandamálið á bak við Log4J veikleikann stafaði af skorti á staðfestingu inntaks, sérstaklega í því að ekki var hægt að framkvæma öryggisathuganir á afraðuðum gögnum sem notendur gáfu frá sér. Með því að senda raðkóðaðan illgjarnan kóða gætu árásarmenn nýtt sér veikleikann og framkvæmt árás á netþjón með veikleikann. Forritarar ættu að athuga allt inntak sem kemur frá þriðja aðila API og öðrum utanaðkomandi aðilum.27
Hvernig á að koma í veg fyrir það, forritari?
Forritarar ættu að framkvæma áreiðanleikakönnun þegar þeir meta þjónustuaðila, meta öryggisstöðu API-viðmóta þeirra og innleiða strangar öryggisráðstafanir. Að auki ættu forritarar að staðfesta að öll samskipti við API-viðmót þriðja aðila og frá þriðja aðila til API-viðmóta fyrirtækisins noti örugga samskiptaleið til að koma í veg fyrir njósnaraárásir og endurspilunarárásir.
Þegar gögn eru móttekin frá utanaðkomandi notendum og vélum ætti alltaf að hreinsa inntakið til að koma í veg fyrir óvart keyrslu kóða. Að lokum, fyrir skýjaþjónustu sem er samþætt í gegnum API, ætti að nota leyfislista til að læsa vistfangi samþættu lausnarinnar, frekar en að leyfa blint hvaða IP-tölu sem er að kalla á API forritsins.
Hvernig getur OpenText hjálpað?
Með því að sameina stöðugan kóða og API-greiningareiginleika OpenText Static Application Security Testing við keyrslutímaathuganir OpenText Dynamic Application Security Testing (DAST) pakkans geta DevSecOps teymi athugað notkun forrita sinna á API-viðmótum frá þriðja aðila og prófað algengar árásartegundir. Til að finna óörugg API getur OpenText Secure API Manager byggt upp gagnagrunn yfir öll API-viðmót sem kerfið kallar á, sem og hvaða utanaðkomandi forrit geta notað API-viðmót forritsins.
27 Ógnanagreining Microsoft. Leiðbeiningar um að koma í veg fyrir, greina og leita að misnotkun á Log4j 2 veikleikanum. Microsoft. Web síða. Uppfært: 10. janúar 2022.

Leiðarvísir forritara um 10 bestu OWASP API öryggi árið 2023

22/23

Hvert á að fara næst
Hér eru vörurnar sem nefndar eru í þessu skjali: Öryggi forrita í OpenText >
Öryggisprófanir á kyrrstæðum forritum í OpenText >
Öryggisprófanir á OpenText virkum forritum >
Öruggur OpenText API stjórnandi >
Viðbótarupplýsingar OWASP Helstu 10 öryggisáhættur API – 2023 >
Gartner Magic Quadrant fyrir öryggisprófanir forrita >
Öryggi OpenText forrita WebInar serían >

Topp 10 öryggislistar API eru ekki nægjanlegir!
Fyrir forritara sem eru innbyggðir í skýið og einbeita sér sérstaklega að því að búa til API-viðmót (API) til að bjóða þjónustu fyrir aðra hluta forrits, innri notendur eða fyrir alþjóðlega neyslu, er OWASP API Security Top 10 listinn mikilvægt skjal til að lesa og skilja.
Hins vegar er OWASP API öryggislistinn, Top 10, ekki sjálfstætt skjal. Forritarar þurfa einnig að ganga úr skugga um að þeir noti aðrar heimildir um bestu starfsvenjur, eins og OWASP Top 10, sem eiga við núverandi forrit og arkitektúr þeirra. Algengar veikleikar í forritum - SQL innspýting, gagnavernd og rangar öryggisstillingar - eru áfram algengar leiðir fyrir netógnahópa til að stofna innviði fyrirtækja í hættu og ætti að lagfæra þá fljótt. Að auki þurfa sum API-byggð forrit, eins og farsímaforrit, önnur öryggisherðingarskref en sjálfstætt forrit. web-app, og frábrugðið því sem kann að vera krafist fyrir tengingar og IoT tæki. Í heildina er listinn yfir 10 helstu API öryggiskerfi mikilvægur, en hann er aðeins þáttur í heildarlífsferli öruggrar hugbúnaðarþróunar. Listann, og OWASP 10 helstu listann, ætti að nota í tengslum við aðra viðeigandi staðla og bestu starfsvenjur sem krafist er fyrir lausnina sem verið er að greina.
Niðurstaða
Þar sem forrit reiða sig í auknum mæli á skýjainnviði, web Forritunarviðmót (API) hafa orðið grunnurinn að internetinu. Fyrirtæki hafa yfirleitt hundruð, ef ekki þúsundir, af API-endapunktum í umhverfi sínu, sem eykur árásarflöt þeirra verulega og berskjaldar forrit fyrir ýmsum veikleikum.
Útgáfa OWASP API Security Top 10 listan fyrir árið 2023 er góður upphafspunktur fyrir fyrirtæki og forritara til að fræða sig um áhættur sem fylgja API-byggðum innviðum og meta eigin forrit. Samhliða þekktari listanum yfir Application Security Top 10 getur þessi röðun hjálpað DevSecOps teymum að þróa heildræna nálgun á heildaröryggi forrita sinna.
DevSecOps teymi þurfa að vera meðvituð um öryggisáhrif API-viðmóta, hvernig hægt er að draga úr varnarleysi og öryggisgöllum í innleiðingu og hvernig hægt er að herða þróunarferlið og API-þjóninn sem myndast til að gera það erfiðara fyrir árásarmenn að brjótast inn í forrit í gegnum API-viðmót þess.

Höfundarréttur © 2025 Opinn texti · 04.25 | 262-000177-001

Skjöl / auðlindir

OpenText 262-000177-001 OWASP Topp 10 fyrir API öryggi [pdfNotendahandbók
262-000177-001, 262-000177-001 OWASP topp 10 fyrir API öryggi, 262-000177-001, OWASP topp 10 fyrir API öryggi, Fyrir API öryggi, API öryggi, Öryggi

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *