OWASP API Security Top 10
Was ist OWASP API Security Top 10?
OWASP API Security Top 10OWASP-Awareness-Dokument, das die kritischsten Sicherheitsrisiken fur Web-APIs einordnet und die allgemeinen OWASP Top 10 erganzt.
Die OWASP API Security Top 10 ist eine community-gepflegte Liste der kritischsten API-spezifischen Risiken (REST, GraphQL, gRPC u.a.). Die Ausgabe 2023 fokussiert auf Themen wie Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management und Unsafe Consumption of APIs. API-Gateways, Pentest-Scoping, Developer-Training und Regulatoren nutzen sie, weil viele Themen in den klassischen Webapp-Top-10-Kategorien fehlen.
● Beispiele
- 01
Angreifer nutzt API1:2023 BOLA, indem /orders/123 zu /orders/124 geandert wird, um die Bestellung eines anderen Kunden zu lesen.
- 02
Security-Review mappt API-Gateway-Findings fur das Management-Reporting auf OWASP-API-Top-10-IDs.
● Häufige Fragen
Was ist OWASP API Security Top 10?
OWASP-Awareness-Dokument, das die kritischsten Sicherheitsrisiken fur Web-APIs einordnet und die allgemeinen OWASP Top 10 erganzt. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet OWASP API Security Top 10?
OWASP-Awareness-Dokument, das die kritischsten Sicherheitsrisiken fur Web-APIs einordnet und die allgemeinen OWASP Top 10 erganzt.
Wie funktioniert OWASP API Security Top 10?
Die OWASP API Security Top 10 ist eine community-gepflegte Liste der kritischsten API-spezifischen Risiken (REST, GraphQL, gRPC u.a.). Die Ausgabe 2023 fokussiert auf Themen wie Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management und Unsafe Consumption of APIs. API-Gateways, Pentest-Scoping, Developer-Training und Regulatoren nutzen sie, weil viele Themen in den klassischen Webapp-Top-10-Kategorien fehlen.
Wie schützt man sich gegen OWASP API Security Top 10?
Schutzmaßnahmen gegen OWASP API Security Top 10 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OWASP API Security Top 10?
Übliche alternative Bezeichnungen: OWASP API Top 10.
● Verwandte Begriffe
- compliance№ 781
OWASP Top 10
Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
- vulnerabilities№ 125
Defekte Zugriffskontrolle
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
- appsec№ 052
API-Sicherheit
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
- compliance№ 204
Compliance
Die Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
● Siehe auch
- № 779OWASP Mobile Top 10