OWASP API Security Top 10
¿Qué es OWASP API Security Top 10?
OWASP API Security Top 10Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos en APIs web, complementando al OWASP Top 10 general de aplicaciones.
El OWASP API Security Top 10 es una lista impulsada por la comunidad con los riesgos mas criticos especificos de APIs web (REST, GraphQL, gRPC, etc.). La edicion 2023 se centra en problemas como Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management y Unsafe Consumption of APIs. Lo utilizan API gateways de seguridad, scoping de pentest, formacion para desarrolladores y reguladores, porque muchas de estas cuestiones no estan bien cubiertas por las categorias clasicas del Top 10 de aplicaciones web.
● Ejemplos
- 01
Atacante que explota API1:2023 BOLA cambiando /orders/123 a /orders/124 para leer el pedido de otro cliente.
- 02
Revision de seguridad que mapea los hallazgos del API gateway a IDs del OWASP API Top 10 para reporting ejecutivo.
● Preguntas frecuentes
¿Qué es OWASP API Security Top 10?
Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos en APIs web, complementando al OWASP Top 10 general de aplicaciones. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP API Security Top 10?
Documento de concienciacion de OWASP que clasifica los riesgos de seguridad mas criticos en APIs web, complementando al OWASP Top 10 general de aplicaciones.
¿Cómo funciona OWASP API Security Top 10?
El OWASP API Security Top 10 es una lista impulsada por la comunidad con los riesgos mas criticos especificos de APIs web (REST, GraphQL, gRPC, etc.). La edicion 2023 se centra en problemas como Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management y Unsafe Consumption of APIs. Lo utilizan API gateways de seguridad, scoping de pentest, formacion para desarrolladores y reguladores, porque muchas de estas cuestiones no estan bien cubiertas por las categorias clasicas del Top 10 de aplicaciones web.
¿Cómo defenderse de OWASP API Security Top 10?
Las defensas contra OWASP API Security Top 10 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP API Security Top 10?
Nombres alternativos comunes: OWASP API Top 10.
● Términos relacionados
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- vulnerabilities№ 125
Control de acceso roto
Clase de vulnerabilidades en la que las reglas de autorización faltan o se aplican mal, permitiendo a los usuarios acciones o datos fuera de sus privilegios.
- appsec№ 052
Seguridad de API
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
● Véase también
- № 779OWASP Mobile Top 10