API

OWASP lanciert neue Top Ten Liste für APIs

2min

Alle Artikel API
#OWASP Top 10  ·  #API
Martin Burkhart

Die OWASP Top Ten ist eine weitverbreitete Liste der zehn wichtigsten Verwundbarkeiten in Web Applikationen. Die Liste wurde erstmals 2003 veröffentlicht und basiert auf Daten von hunderten Organisationen weltweit. Jede Schwachstelle und mögliche Gegenmassnahmen werden im Detail beschrieben.

Über die Jahre hat OWASP auch Schwachstellen von APIs (Application Programming Interfaces) berücksichtigt, da APIs in der Softwareentwicklung immer stärker Verbreitung gefunden haben. Anders als von zehn Jahren werden Webapplikationen heute meist als Single-Page Application (SPA) entwickelt, welche eine Vielzahl von APIs integriert. Die SPA umfasst dabei das Benutzerinterface und Client-Logik, während APIs einzelne Aspekte von Business-Logik kapseln. Oft werden APIs als RESTful Webservices umgesetzt. Leider weisen APIs ähnliche oder gar dieselben Schwachstellen wie traditionelle Webapplikationen auf und sind zudem noch näher bei den sensitiven Daten angesiedelt. OWASP hat diesem Umstand Rechnung getragen, indem sie nicht mehr einfach von Applikationen sondern von "Applikationen oder APIs" sprechen. Ebenfalls wurden Schwachstellen aufgenommen, die sehr API-spezifisch sind, wie beispielsweise die "A4 - XML External Entities" in der Ausgabe von 2017.

OWASP setzt nun ein weiteres Zeichen und veröffentlicht eine eigene Liste der Top Ten Schwachstellen für APIs. Damit betont OWASP die zunehmende Wichtigkeit von API-Sicherheit für Unternehmen. Die Version 1 der neuen Liste ist für Ende 2019 geplant. Wir bei Airlock teilen die Einschätzung von OWASP bezüglich der Dringlichkeit von API-Sicherheit und haben den öffentlich verfügbaren Entwurf gleich studiert. Unsere Kommentare zur geplanten OWASP API Security Top Ten Liste und Empfehlungen, wie man APIs mit dem Airlock API Gateway schützen kann, haben wir in einem Dokument zusammengefasst und diesem Blog angehängt. Die kommentierte Version (Juli 2019) kann sich bis zur Veröffentlichung allerdings noch ändern. Wir bleiben dran und informieren über relevante Entwicklungen in diesem Blog.

Zum Download

Airlock API Gateway 

 

Zudem ist im Heise Magazin ein Fachartikel veröffentlicht worden, in dem Sie mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten erfahren.

Fachartikel lesen

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Keine Blogbeiträge

Die Liste enthält keine Blogbeiträge.

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern