Tekniska ämnen

Vad är API-säkerhet?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

API:er (Application Programming Interfaces) är en viktig del av strategier för digital transformation, och att säkra dessa API:er är en av de största utmaningarna. API:er är en snabbt växande attackyta som inte är allmänt förstådd och som kan förbises av utvecklare och applikationssäkerhetschefer.

API-säkerhet

Ta det från OWASP API Security Project: "API:er är en kritisk del av moderna mobil-, SaaS- och webbapplikationer och finns i applikationer som vänder sig till kunder, partners och internt. Av naturliga skäl exponerar API:er applikationslogik och känsliga data såsom personligt identifierbar information (PII) och har därför i allt högre grad blivit ett mål för angripare. Utan säkra API:er skulle snabb innovation vara omöjlig."


Hur skiljer sig API-baserade appar från andra?

Återigen, från OWASP:

  • Servern används mer som en proxy för data.
  • Renderingskomponenten är klienten, inte servern.
  • Kunderna konsumerar rådata.
  • API:er exponerar den underliggande implementeringen av appen.
  • Användarens tillstånd upprätthålls och övervakas vanligtvis av klienten.
  • Fler parametrar skickas i varje HTTP-begäran (objekt-ID, filter).

Hur skiljer sig API-säkerhet från allmän applikationssäkerhet?

API Security fokuserar på strategier för att minska de unika säkerhetsriskerna med API:er. Traditionella sårbarheter är mindre vanliga i API-baserade appar:

  • SQLi - Ökad användning av ORM:er.
  • CSRF - Auktoriseringsrubriker i stället för cookies.
  • Path Manipulations - Molnbaserad lagring.
  • Klassiska IT-säkerhetsfrågor - SaaS.

Varför är API-säkerhet viktigt?

API-säkerhet är viktigt eftersom företag använder API:er för att ansluta tjänster och överföra data, så ett hackat API kan leda till ett dataintrång.


API-användningen fortsätter att öka

I december 2021 rapporterade Cloudflare att API-anrop stod för 54% av de totala förfrågningarna och ökade med 21% från februari till december 2021. Angripare har uppmärksammat detta och ökat sitt fokus på API:er.

API-säkerhetstestning är en del av kärnfunktionerna i Gartners MQ för Application Security Testing.

API:er har blivit en viktig del av moderna applikationer (t.ex. enkelsidiga eller mobila applikationer), men traditionella AST-verktyg kanske inte kan testa dem fullt ut, vilket leder till krav på specialiserade verktyg och funktioner. Typiska funktioner är möjligheten att upptäcka API:er i både utvecklings- och produktionsmiljöer och testa API:ernas källkod, samt möjligheten att ta in inspelad trafik eller API-definitioner för att stödja testningen av ett API som körs.


Vad är OWASP API-säkerhet topp 10?

OWASP tillkännagav nyligen API Security Top 10 Release Candidate. Läs mer om OWASP API Security Project. Här är topp 10:

  • API1 - Bruten auktorisering på objektnivå
  • API2- Bruten användarautentisering
  • API3 - Överdriven exponering av data
  • API4 - Brist på resurser och hastighetsbegränsning
  • API5 - Bruten auktorisering på funktionsnivå
  • API6 - Masstilldelning
  • API7 - Felaktig säkerhetskonfiguration
  • API8 - Injektering
  • API9 - Felaktig hantering av tillgångar
  • API10 - Otillräcklig loggning och övervakning

Fortify hjälper till med API-säkerhet

API-säkerhet med Fortify:

  • Attackytetäckning - Upptäck nya och dolda API-slutpunkter automatiskt under testning och identifiera bredden av slutpunkter med OpenAPI-, Swagger-, Odata- eller WSDL-scheman.
  • API-autentisering - API-autentisering är varierande och komplex. Fortify stöder praktiskt taget alla typer av bearer tokens och implementeringar.
  • Sårbarhetsdetektering - ständigt utökad täckning av API-specifika sårbarheter som påverkar områden som bearer tokens eller GraphQL introspection.
  • Automatisering av skanning - Skala upp API-testning med företagsklassad orkestrering som levereras via SaaS, värdbaserad eller lokalt.

API-säkerhet

Kom igång idag

Läs mer om detta

Hur kan vi hjälpa till?

Fotnoter