API

OWASP lanciert neue Top Ten Liste für APIs

2min

Alle Artikel API
#OWASP Top 10  ·  #API
Martin Burkhart

Die OWASP Top Ten ist eine weitverbreitete Liste der zehn wichtigsten Verwundbarkeiten in Web Applikationen. Die Liste wurde erstmals 2003 veröffentlicht und basiert auf Daten von hunderten Organisationen weltweit. Jede Schwachstelle und mögliche Gegenmassnahmen werden im Detail beschrieben.

Über die Jahre hat OWASP auch Schwachstellen von APIs (Application Programming Interfaces) berücksichtigt, da APIs in der Softwareentwicklung immer stärker Verbreitung gefunden haben. Anders als von zehn Jahren werden Webapplikationen heute meist als Single-Page Application (SPA) entwickelt, welche eine Vielzahl von APIs integriert. Die SPA umfasst dabei das Benutzerinterface und Client-Logik, während APIs einzelne Aspekte von Business-Logik kapseln. Oft werden APIs als RESTful Webservices umgesetzt. Leider weisen APIs ähnliche oder gar dieselben Schwachstellen wie traditionelle Webapplikationen auf und sind zudem noch näher bei den sensitiven Daten angesiedelt. OWASP hat diesem Umstand Rechnung getragen, indem sie nicht mehr einfach von Applikationen sondern von "Applikationen oder APIs" sprechen. Ebenfalls wurden Schwachstellen aufgenommen, die sehr API-spezifisch sind, wie beispielsweise die "A4 - XML External Entities" in der Ausgabe von 2017.

OWASP setzt nun ein weiteres Zeichen und veröffentlicht eine eigene Liste der Top Ten Schwachstellen für APIs. Damit betont OWASP die zunehmende Wichtigkeit von API-Sicherheit für Unternehmen. Die Version 1 der neuen Liste ist für Ende 2019 geplant. Wir bei Airlock teilen die Einschätzung von OWASP bezüglich der Dringlichkeit von API-Sicherheit und haben den öffentlich verfügbaren Entwurf gleich studiert. Unsere Kommentare zur geplanten OWASP API Security Top Ten Liste und Empfehlungen, wie man APIs mit dem Airlock API Gateway schützen kann, haben wir in einem Dokument zusammengefasst und diesem Blog angehängt. Die kommentierte Version (Juli 2019) kann sich bis zur Veröffentlichung allerdings noch ändern. Wir bleiben dran und informieren über relevante Entwicklungen in diesem Blog.

Zum Download

Airlock API Gateway 

 

Zudem ist im Heise Magazin ein Fachartikel veröffentlicht worden, in dem Sie mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten erfahren.

Fachartikel lesen

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Weitere interessante Artikel

API

Verteilter Anwendungsschutz mit Microgateways

Web-Anwendungen und APIs sind seit Jahren ein attraktives Ziel von Cyberkriminellen,entsprechend sind sie auch für die IT-Sicherheit eine… Artikel lesen
von Dani Estermann · 26.06.2023
API

Die WAF ist tot - Es lebe WAAP

Web-Anwendungen und APIs sind seit Jahren ein attraktives Ziel von Cyberkriminellen,entsprechend sind sie auch für die IT-Sicherheit eine… Artikel lesen
von Dani Estermann · 15.06.2023
API

Ein Blick auf die Top 10 API Security Risks von OWASP

Das sind die Top 10 der API-Sicherheitsrisiken! Die aktuelle OWASP-Liste betrachtet bekannte und neue Risiken und verdeutlicht, woran Entwickler… Artikel lesen
von Reto Ischi · 27.11.2023
Zur Artikelübersicht

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper Agile Sicherheit

Lesen Sie in unserem Whitepaper, das wir mit unserem Gold Partner Knowledge Lab AG erstellt haben, wie Sie agile Security so dynamisch wie Ihr Unternehmen selbst gestalten können. Erfahren Sie, wie die V-Bank AG den Weg in eine agile und sichere Welt geschafft hat

Jetzt Formular ausfüllen und Whitepaper erhalten!

Studie Application- und API-Security 2022

Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt.

Studie anfordern

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern