APIs sicher entwickeln
APIs sind ähnlichen Bedrohungen wie klassische Webanwendungen ausgesetzt. Um sie gegen Schwachstellen zu schützen, orientieren sich Sicherheitsverantwortliche an den OWASP API Security Top 10.
Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die sich auf die Fahnen geschrieben hat, die Sicherheit von Webanwendungen zu verbessern. Ihre wohl bekannteste Publikation sind die OWASP Top 10, eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Web-Apps und deren Ursachen sowie Maßnahmen, die beim Entwickeln dagegen helfen [1].
Weniger geläufig sind die gleichfalls als Bestenliste angelegten API Security Top 10, veröffentlicht Ende 2019 von den Sicherheitsforschern Erez Yalon und Inon Shkedy. Die beiden griffen auf ihre Erfahrung als Penetrationstester zurück und werteten Statistiken von Bug-Bounty-Plattformen sowie öffentlich gewordene Sicherheitsvorfälle aus. Dieser Artikel stellt die API Security Top 10 vor – allerdings nicht in ursprünglicher Reihenfolge, sondern thematisch sortiert und um weitere Punkte ergänzt, die Pentestern im Rahmen von API-Audits bei Kunden häufig auffallen. Eine Übersicht findet sich in der Tabelle „Überblick über die OWASP API Security Top 10“.