Die OWASP Top Ten ist eine weitverbreitete Liste der zehn wichtigsten Verwundbarkeiten in Web Applikationen. Die Liste wurde erstmals 2003 veröffentlicht und basiert auf Daten von hunderten Organisationen weltweit. Jede Schwachstelle und mögliche Gegenmassnahmen werden im Detail beschrieben.

Über die Jahre hat OWASP auch Schwachstellen von APIs (Application Programming Interfaces) berücksichtigt, da APIs in der Softwareentwicklung immer stärker Verbreitung gefunden haben. Anders als von zehn Jahren werden Webapplikationen heute meist als Single-Page Application (SPA) entwickelt, welche eine Vielzahl von APIs integriert. Die SPA umfasst dabei das Benutzerinterface und Client-Logik, während APIs einzelne Aspekte von Business-Logik kapseln. Oft werden APIs als RESTful Webservices umgesetzt. Leider weisen APIs ähnliche oder gar dieselben Schwachstellen wie traditionelle Webapplikationen auf und sind zudem noch näher bei den sensitiven Daten angesiedelt. OWASP hat diesem Umstand Rechnung getragen, indem sie nicht mehr einfach von Applikationen sondern von "Applikationen oder APIs" sprechen. Ebenfalls wurden Schwachstellen aufgenommen, die sehr API-spezifisch sind, wie beispielsweise die "A4 - XML External Entities" in der Ausgabe von 2017.

OWASP setzt nun ein weiteres Zeichen und veröffentlicht eine eigene Liste der Top Ten Schwachstellen für APIs. Damit betont OWASP die zunehmende Wichtigkeit von API-Sicherheit für Unternehmen. Die Version 1 der neuen Liste ist für Ende 2019 geplant. Wir bei Airlock teilen die Einschätzung von OWASP bezüglich der Dringlichkeit von API-Sicherheit und haben den öffentlich verfügbaren Entwurf gleich studiert. Unsere Kommentare zur geplanten OWASP API Security Top Ten Liste und Empfehlungen, wie man APIs mit dem Airlock API Gateway schützen kann, haben wir in einem Dokument zusammengefasst und diesem Blog angehängt. Die kommentierte Version (Juli 2019) kann sich bis zur Veröffentlichung allerdings noch ändern. Wir bleiben dran und informieren über relevante Entwicklungen in diesem Blog.

Zum Download

Airlock API Gateway 

 

Zudem ist im Heise Magazin ein Fachartikel veröffentlicht worden, in dem Sie mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten erfahren.

Fachartikel lesen

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

* Pflichtfelder

Weitere interessante Artikel

API

Schutz von APIs & Reduzieren von Sicherheitsrisiken

API

Studie: Application und API-Security im Container-Umfeld 2022

Banken

5 Sicherheitsherausforderungen in einem Open-Banking-Ökosystem

Wir informieren Sie

-Unsere Whitepaper-

Besuchen Sie uns auf der it-sa!

Vom 8. bis 10. Oktober können Sie uns auf der it-sa, Europas grösster IT-Security Veranstaltung, erleben. Erfahren Sie die letzten Neuigkeiten rund um die Themen Applikationssicherheit, API-Security, Access Management und Cloud Security.
Wie Sie Ihre IT-Security vom Spielverderber zum Beschleuniger Ihrer Digitalisierungsvorhaben machen, erfahren Sie auf unserem Kongress am 9. Oktober.

Jetzt registrieren und ein kostenloses Ticket erhalten

Studie Application- und API-Security 2022

Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt.

Studie anfordern

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern