OWASP API Security Top 10
Qu'est-ce que OWASP API Security Top 10 ?
OWASP API Security Top 10Document de sensibilisation OWASP qui classe les risques de securite les plus critiques pour les APIs web, en complement de l'OWASP Top 10 generaliste.
L'OWASP API Security Top 10 est une liste communautaire des risques les plus critiques specifiques aux APIs web (REST, GraphQL, gRPC, etc.). L'edition 2023 se concentre sur des problemes comme Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, acces non restreint a des flux metier sensibles, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management et Unsafe Consumption of APIs. Il est largement utilise par les API gateways, le cadrage des pentests, la formation et les regulateurs car ces problemes sont mal couverts par les categories classiques.
● Exemples
- 01
Attaquant exploitant API1:2023 BOLA en changeant /orders/123 en /orders/124 pour lire la commande d'un autre client.
- 02
Revue securite mappant les constats de l'API gateway aux IDs du OWASP API Top 10 pour le reporting exec.
● Questions fréquentes
Qu'est-ce que OWASP API Security Top 10 ?
Document de sensibilisation OWASP qui classe les risques de securite les plus critiques pour les APIs web, en complement de l'OWASP Top 10 generaliste. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OWASP API Security Top 10 ?
Document de sensibilisation OWASP qui classe les risques de securite les plus critiques pour les APIs web, en complement de l'OWASP Top 10 generaliste.
Comment fonctionne OWASP API Security Top 10 ?
L'OWASP API Security Top 10 est une liste communautaire des risques les plus critiques specifiques aux APIs web (REST, GraphQL, gRPC, etc.). L'edition 2023 se concentre sur des problemes comme Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, acces non restreint a des flux metier sensibles, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management et Unsafe Consumption of APIs. Il est largement utilise par les API gateways, le cadrage des pentests, la formation et les regulateurs car ces problemes sont mal couverts par les categories classiques.
Comment se défendre contre OWASP API Security Top 10 ?
Les défenses contre OWASP API Security Top 10 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OWASP API Security Top 10 ?
Noms alternatifs courants : OWASP API Top 10.
● Termes liés
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
- vulnerabilities№ 125
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
- appsec№ 052
Sécurité des API
Discipline qui consiste à concevoir, construire et exploiter des API de sorte que l'authentification, l'autorisation, l'exposition des données et la résistance aux abus tiennent sous attaque.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
● Voir aussi
- № 779OWASP Mobile Top 10