Vad är API-säkerhet?
Översikt
API:er (Application Programming Interfaces) är en viktig del av strategier för digital transformation, och att säkra dessa API:er är en av de största utmaningarna. API:er är en snabbt växande attackyta som inte är allmänt förstådd och som kan förbises av utvecklare och applikationssäkerhetschefer.
API-säkerhet
Ta det från OWASP API Security Project: "API:er är en kritisk del av moderna mobil-, SaaS- och webbapplikationer och finns i applikationer som vänder sig till kunder, partners och internt. Av naturliga skäl exponerar API:er applikationslogik och känsliga data såsom personligt identifierbar information (PII) och har därför i allt högre grad blivit ett mål för angripare. Utan säkra API:er skulle snabb innovation vara omöjlig."
Hur skiljer sig API-baserade appar från andra?
Återigen, från OWASP:
- Servern används mer som en proxy för data.
- Renderingskomponenten är klienten, inte servern.
- Kunderna konsumerar rådata.
- API:er exponerar den underliggande implementeringen av appen.
- Användarens tillstånd upprätthålls och övervakas vanligtvis av klienten.
- Fler parametrar skickas i varje HTTP-begäran (objekt-ID, filter).
Hur skiljer sig API-säkerhet från allmän applikationssäkerhet?
API Security fokuserar på strategier för att minska de unika säkerhetsriskerna med API:er. Traditionella sårbarheter är mindre vanliga i API-baserade appar:
- SQLi - Ökad användning av ORM:er.
- CSRF - Auktoriseringsrubriker i stället för cookies.
- Path Manipulations - Molnbaserad lagring.
- Klassiska IT-säkerhetsfrågor - SaaS.
Varför är API-säkerhet viktigt?
API-säkerhet är viktigt eftersom företag använder API:er för att ansluta tjänster och överföra data, så ett hackat API kan leda till ett dataintrång.
API-användningen fortsätter att öka
I december 2021 rapporterade Cloudflare att API-anrop stod för 54% av de totala förfrågningarna och ökade med 21% från februari till december 2021. Angripare har uppmärksammat detta och ökat sitt fokus på API:er.
API-säkerhetstestning är en del av kärnfunktionerna i Gartners MQ för Application Security Testing.
API:er har blivit en viktig del av moderna applikationer (t.ex. enkelsidiga eller mobila applikationer), men traditionella AST-verktyg kanske inte kan testa dem fullt ut, vilket leder till krav på specialiserade verktyg och funktioner. Typiska funktioner är möjligheten att upptäcka API:er i både utvecklings- och produktionsmiljöer och testa API:ernas källkod, samt möjligheten att ta in inspelad trafik eller API-definitioner för att stödja testningen av ett API som körs.
Vad är OWASP API-säkerhet topp 10?
OWASP tillkännagav nyligen API Security Top 10 Release Candidate. Läs mer om OWASP API Security Project. Här är topp 10:
- API1 - Bruten auktorisering på objektnivå
- API2- Bruten användarautentisering
- API3 - Överdriven exponering av data
- API4 - Brist på resurser och hastighetsbegränsning
- API5 - Bruten auktorisering på funktionsnivå
- API6 - Masstilldelning
- API7 - Felaktig säkerhetskonfiguration
- API8 - Injektering
- API9 - Felaktig hantering av tillgångar
- API10 - Otillräcklig loggning och övervakning
Fortify hjälper till med API-säkerhet
- Attackytetäckning - Upptäck nya och dolda API-slutpunkter automatiskt under testning och identifiera bredden av slutpunkter med OpenAPI-, Swagger-, Odata- eller WSDL-scheman.
- API-autentisering - API-autentisering är varierande och komplex. Fortify stöder praktiskt taget alla typer av bearer tokens och implementeringar.
- Sårbarhetsdetektering - ständigt utökad täckning av API-specifika sårbarheter som påverkar områden som bearer tokens eller GraphQL introspection.
- Automatisering av skanning - Skala upp API-testning med företagsklassad orkestrering som levereras via SaaS, värdbaserad eller lokalt.
