OWASP API Security Top 10
O que é OWASP API Security Top 10?
OWASP API Security Top 10Documento de consciencializacao da OWASP que classifica os riscos de seguranca mais criticos das APIs web, complementando o OWASP Top 10 geral.
O OWASP API Security Top 10 e uma lista comunitaria dos riscos mais criticos especificos de APIs web (REST, GraphQL, gRPC, etc.). A edicao de 2023 foca em Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, acesso ilimitado a fluxos de negocio sensiveis, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management e Unsafe Consumption of APIs. E muito usado por API gateways, ambito de pentest, formacao de developers e reguladores, porque estes problemas nao estao bem cobertos pelas categorias classicas do Top 10 de aplicacoes web.
● Exemplos
- 01
Atacante explora API1:2023 BOLA mudando /orders/123 para /orders/124 para ler a encomenda de outro cliente.
- 02
Revisao de seguranca que mapeia achados do API gateway para IDs do OWASP API Top 10 para reporting executivo.
● Perguntas frequentes
O que é OWASP API Security Top 10?
Documento de consciencializacao da OWASP que classifica os riscos de seguranca mais criticos das APIs web, complementando o OWASP Top 10 geral. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa OWASP API Security Top 10?
Documento de consciencializacao da OWASP que classifica os riscos de seguranca mais criticos das APIs web, complementando o OWASP Top 10 geral.
Como funciona OWASP API Security Top 10?
O OWASP API Security Top 10 e uma lista comunitaria dos riscos mais criticos especificos de APIs web (REST, GraphQL, gRPC, etc.). A edicao de 2023 foca em Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, acesso ilimitado a fluxos de negocio sensiveis, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management e Unsafe Consumption of APIs. E muito usado por API gateways, ambito de pentest, formacao de developers e reguladores, porque estes problemas nao estao bem cobertos pelas categorias classicas do Top 10 de aplicacoes web.
Como se defender contra OWASP API Security Top 10?
As defesas contra OWASP API Security Top 10 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OWASP API Security Top 10?
Nomes alternativos comuns: OWASP API Top 10.
● Termos relacionados
- compliance№ 781
OWASP Top 10
Documento de sensibilização da OWASP que enumera os riscos de segurança mais críticos para aplicações web, atualizado periodicamente com base em dados reais de vulnerabilidades.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.
- vulnerabilities№ 125
Controlo de acesso quebrado
Classe de vulnerabilidades em que as regras de autorização estão em falta ou são aplicadas incorretamente, permitindo a utilizadores ações ou dados fora dos seus privilégios.
- appsec№ 052
Segurança de API
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
- compliance№ 204
Conformidade
Disciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
● Veja também
- № 779OWASP Mobile Top 10