In einer früheren Blog Reihe haben wir bereits die Arbeit des OWASP (Open Web Application Security Project) und seine TOP 10 Liste für Webapplikationen angesprochen.
Durch den technologischen Fortschritt und die wachsenden Anforderungen an die Flexibilität in der Entwicklung von Webapplikationen sowie der zunehmenden Komplexität in der Architektur, werden immer öfter eine oder mehrere APIs (Schnittstellen) genutzt.
Eine API dient dem Zweck, standardisiert Daten und Befehle zwischen Teilen einer Anwendung auszutauschen.
Die Anwendungsbereiche einer API umfassen zum Beispiel IoT Anwendungen, Webapplikationen und mobile Applikationen. Das heißt, dass über eine API sowohl Hardwarekomponenten, wie Grafikkarten oder Speichermedien, als auch Softwarekomponenten, angesprochen werden können.
Im Fall von Webapplikationen vermittelt die Schnittstelle beispielsweise durch Funktionen zwischen der Benutzeroberfläche im Frontend und der Applikationslogik und Datenbank im Backend. Der Datenaustausch findet hierbei in der Regel auf Basis der Standards SOAP oder REST statt.
Mit der rasant wachsenden Popularität von APIs, wächst gleichermaßen auch das Interesse der Sicherheitscommunity hieran.
Aus diesem Grund hat das OWASP dem Thema APIs eine eigene TOP 10 Reihe gewidmet. Die Themen der API-TOP 10 beinhalten unter anderem die Preisgabe sensibler Informationen über Injektionsmöglichkeiten wie SQL-Injektionen oder auch das Berechtigungsmanagement. Diese Themenfelder sind bereits aus der OWASP TOP 10 für Webapplikationen bekannt. Dies liegt daran, dass grundlegende Funktionalitäten seit Beginn der Kategorisierung von Schwachstellen typische Angriffsvektoren aufzeigen. Unabhängig davon in welchem Anwendungskontext diese Funktionen stehen.
Aber auch API-spezifische Thematiken sind beinhaltet, wie etwa die potenziell fehlerhafte Handhabung von Objekten oder eine fehlerhafte Ressourcen Limitierung, welche zu einem Denial-of-Service (DoS) führen könnte.
Es ist absehbar, dass sich die OWASP API TOP 10 zu einer der bedeutendsten fortlaufenden Sicherheitsrisiken-Listen entwickeln wird. Selbstverständlich arbeiten auch wir bei unseren Schnittstellenüberprüfungen innerhalb eines Penetrationstests von API´s nach der neu erschienenen OWASP API TOP 10.