Die OWASP Top Ten ist eine weitverbreitete Liste der zehn wichtigsten Verwundbarkeiten in Web Applikationen. Die Liste wurde erstmals 2003 veröffentlicht und basiert auf Daten von hunderten Organisationen weltweit. Jede Schwachstelle und mögliche Gegenmassnahmen werden im Detail beschrieben.
Über die Jahre hat OWASP auch Schwachstellen von APIs (Application Programming Interfaces) berücksichtigt, da APIs in der Softwareentwicklung immer stärker Verbreitung gefunden haben. Anders als von zehn Jahren werden Webapplikationen heute meist als Single-Page Application (SPA) entwickelt, welche eine Vielzahl von APIs integriert. Die SPA umfasst dabei das Benutzerinterface und Client-Logik, während APIs einzelne Aspekte von Business-Logik kapseln. Oft werden APIs als RESTful Webservices umgesetzt. Leider weisen APIs ähnliche oder gar dieselben Schwachstellen wie traditionelle Webapplikationen auf und sind zudem noch näher bei den sensitiven Daten angesiedelt. OWASP hat diesem Umstand Rechnung getragen, indem sie nicht mehr einfach von Applikationen sondern von "Applikationen oder APIs" sprechen. Ebenfalls wurden Schwachstellen aufgenommen, die sehr API-spezifisch sind, wie beispielsweise die "A4 - XML External Entities" in der Ausgabe von 2017.
OWASP setzt nun ein weiteres Zeichen und veröffentlicht eine eigene Liste der Top Ten Schwachstellen für APIs. Damit betont OWASP die zunehmende Wichtigkeit von API-Sicherheit für Unternehmen. Die Version 1 der neuen Liste ist für Ende 2019 geplant. Wir bei Airlock teilen die Einschätzung von OWASP bezüglich der Dringlichkeit von API-Sicherheit und haben den öffentlich verfügbaren Entwurf gleich studiert. Unsere Kommentare zur geplanten OWASP API Security Top Ten Liste und Empfehlungen, wie man APIs mit dem Airlock API Gateway schützen kann, haben wir in einem Dokument zusammengefasst und diesem Blog angehängt. Die kommentierte Version (Juli 2019) kann sich bis zur Veröffentlichung allerdings noch ändern. Wir bleiben dran und informieren über relevante Entwicklungen in diesem Blog.
Airlock API Gateway
Zudem ist im Heise Magazin ein Fachartikel veröffentlicht worden, in dem Sie mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten erfahren.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.