Die OWASP Top Ten ist eine weitverbreitete Liste der zehn wichtigsten Verwundbarkeiten in Web Applikationen. Die Liste wurde erstmals 2003 veröffentlicht und basiert auf Daten von hunderten Organisationen weltweit. Jede Schwachstelle und mögliche Gegenmassnahmen werden im Detail beschrieben.

Über die Jahre hat OWASP auch Schwachstellen von APIs (Application Programming Interfaces) berücksichtigt, da APIs in der Softwareentwicklung immer stärker Verbreitung gefunden haben. Anders als von zehn Jahren werden Webapplikationen heute meist als Single-Page Application (SPA) entwickelt, welche eine Vielzahl von APIs integriert. Die SPA umfasst dabei das Benutzerinterface und Client-Logik, während APIs einzelne Aspekte von Business-Logik kapseln. Oft werden APIs als RESTful Webservices umgesetzt. Leider weisen APIs ähnliche oder gar dieselben Schwachstellen wie traditionelle Webapplikationen auf und sind zudem noch näher bei den sensitiven Daten angesiedelt. OWASP hat diesem Umstand Rechnung getragen, indem sie nicht mehr einfach von Applikationen sondern von "Applikationen oder APIs" sprechen. Ebenfalls wurden Schwachstellen aufgenommen, die sehr API-spezifisch sind, wie beispielsweise die "A4 - XML External Entities" in der Ausgabe von 2017.

OWASP setzt nun ein weiteres Zeichen und veröffentlicht eine eigene Liste der Top Ten Schwachstellen für APIs. Damit betont OWASP die zunehmende Wichtigkeit von API-Sicherheit für Unternehmen. Die Version 1 der neuen Liste ist für Ende 2019 geplant. Wir bei Airlock teilen die Einschätzung von OWASP bezüglich der Dringlichkeit von API-Sicherheit und haben den öffentlich verfügbaren Entwurf gleich studiert. Unsere Kommentare zur geplanten OWASP API Security Top Ten Liste und Empfehlungen, wie man APIs mit dem Airlock API Gateway schützen kann, haben wir in einem Dokument zusammengefasst und diesem Blog angehängt. Die kommentierte Version (Juli 2019) kann sich bis zur Veröffentlichung allerdings noch ändern. Wir bleiben dran und informieren über relevante Entwicklungen in diesem Blog.

Zum Download

Airlock API Gateway 

 

Zudem ist im Heise Magazin ein Fachartikel veröffentlicht worden, in dem Sie mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten erfahren.

Fachartikel lesen

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

Schutz von APIs & Reduzieren von Sicherheitsrisiken
API

Schutz von APIs & Reduzieren von Sicherheitsrisiken

Airlock Secure Access Hub - Mehr als die Summe seiner Teile
API

Airlock Secure Access Hub - Mehr als die Summe seiner Teile

Sicheres Open Banking und nahtlose FinTech Integration
API

Sicheres Open Banking und nahtlose FinTech Integration

Wir informieren Sie

-Unsere Whitepaper-

IT-Sicherheitslösungen

Die Digitalisierung stellt Unternehmen vor neue Herausforderungen, die weit über die IT hinausgehen. Das betrifft vor allem einen Aspekt, der heute immer wichtiger wird: Die IT-Sicherheit.

In unserem Whitepaper erfahren Sie, wie IT-Security zum Beschleuniger der Digitalisierung wird.

Kostenlos anfordern

Digitalisierung beschleunigen

Wer in der digitalen Transformation bestehen will, muss vermehrt auf Hybrid-Cloud Umgebungen umstellen. Dies erfordert neue Security Ansätze sowie ein abgestimmtes Identitäts- und Berechtigungsmanagement.

Erfahren Sie mehr dazu in unserem Whitepaper in Zusammenarbeit mit Deloitte, eperi und SHE.

Kostenlos anfordern

OWASP Top 10 für API Sicherheit

OWASP hat eine neue Top10 Liste für API Security erstellt. Die gelisteten Top 10 geben einen breiten Konsens darüber wieder, was die derzeit wichtigsten API Sicherheitsthemen sind.

In unserem Whitepaper erfahren Sie, wie unsere Airlock API die OWASP Top 10 adressiert.

Kostenlos herunterladen

Weitere Whitepaper

Zu folgenden weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern