Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Jun 04, 2023
Die Top 10 der API-Sicherheit 2023 von OWASP verfeinern die Sicht auf API-Risiken
Das OWASP-Ranking für die größten API-Sicherheitsrisiken im Jahr 2023 wurde veröffentlicht. Der
Das OWASP-Ranking für die größten API-Sicherheitsrisiken im Jahr 2023 wurde veröffentlicht. Die Liste enthält viele Parallelen zur Liste von 2019, einige Umstrukturierungen/Neudefinitionen und einige neue Konzepte.
Von
Das OWASP-Ranking für die größten API-Sicherheitsrisiken im Jahr 2023 wurde veröffentlicht. Die Liste enthält viele Parallelen zur Liste von 2019, einige Umstrukturierungen/Neudefinitionen und einige neue Konzepte.
Hier sind die OWASP Top 10 API-Sicherheitsrisiken von 2023 und ein Vergleich mit der Version von 2019:
Weder Bedrohungen noch Risiken ändern sich im Laufe einiger Jahre drastisch; Aber sie entwickeln sich weiter, und unser Verständnis von ihnen entwickelt sich gleichermaßen weiter. Dies zeigt die Auflistung 2023 – nicht so sehr eine neue Liste, sondern eine Verfeinerung der bestehenden Liste.
Die OWASP-Listen sind eine Gemeinschaftsarbeit. Obwohl niemand an ihrem Wert zweifelt, sind nicht alle – nicht einmal die Beteiligten – mit allen Details einverstanden. Nehmen Sie zum Beispiel die Entfernung übermäßiger Datenexposition aus API3.
„Bedeutet das, dass wir die Offenlegung sensibler Daten gelöst haben?“ fragt Jason Kent von Cequence Security. „Nein, die Offenlegung sensibler Daten ist ein großes Problem. In der 2023-Version von API 3 sehen wir ein Beispiel dafür, wie jemand die Offenlegung sensibler Daten auf den nächsten Schritt treibt und die Autorisierung auf Eigentumsebene durchbricht. Es ist kein direkter Ersatz, weil viele der Elemente in der Liste hängen von der Offenlegung sensibler Daten ab. Ist das die richtige Art, es darzustellen? Ich glaube nicht, es ist ein Beispiel für unterschiedliche Meinungen.“
Gleichzeitig lobt er die Namensänderung in API6 wegen des grundsätzlich gleichen Risikos. Die aufgeführten Beispiele bleiben im Grunde die gleichen: Beide beziehen sich auf eine Mitfahr-App und beide nutzen etwas im Backend aus. „Es gibt etwas Subtiles an der Benennung, das die Version von 2023 wie etwas erscheinen lässt, das repariert werden muss, anstatt nebulös und verwirrend zu sein. Es veranschaulicht auch unsere Erkenntnisse darüber, wie API-Sicherheit, die nicht richtig funktioniert, zu einer Angriffsautomatisierung führt.“ dagegen eingesetzt.“
Das Hauptproblem bei der Erstellung einer detaillierten und geordneten Risikoliste ist die Risikokette. Verstöße gehen oft von einer API aus, die das Opfer vergessen hat (API9). Dadurch könnten vertrauliche Benutzerdaten (API1) bereitgestellt werden, die den Angreifer dazu veranlassen, einen Bot zu erstellen, um die Schwachstelle so weit und schnell wie möglich auszunutzen (wobei API6 berührt wird).
„Die neuen API Top 10 sind vielleicht nicht perfekt“, schließt Kent, „aber sie zeigen uns genau das, was wir schon seit mehreren Jahren wissen. Die Landschaft der API-Sicherheit verändert sich, und Organisationen müssen sich mit ihr verändern. Ob das so ist.“ Wenn Sie wissen, wo sich Ihre APIs befinden, sie auf Fehler testen oder Bots abwehren, die Ihre unbekannten Abläufe angreifen, muss die API-Sicherheit für jeden im Mittelpunkt stehen – und diese neue Liste ist ein guter Ausgangspunkt.“
Verwandt: OWASP Top 10 mit drei neuen Kategorien aktualisiert
Verwandt: Endgültige Version der OWASP Top 10 2017 veröffentlicht
Verwandt: OWASP schlägt neue Schwachstellen für die Top 10 2017 vor
Kevin Townsend ist Senior Contributor bei SecurityWeek. Er hat bereits vor der Geburt von Microsoft über High-Tech-Themen geschrieben. In den letzten 15 Jahren hat er sich auf Informationssicherheit spezialisiert; und hat viele tausend Artikel in Dutzenden verschiedener Zeitschriften veröffentlicht – von The Times und der Financial Times bis hin zu aktuellen und längst vergangenen Computerzeitschriften.
Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.
Der Threat Detection and Incident Response Summit von SecurityWeek bringt Sicherheitsexperten aus der ganzen Welt zusammen, um Kriegsgeschichten über Sicherheitsverletzungen, APT-Angriffe und Bedrohungsinformationen auszutauschen.
Das CISO-Forum von Securityweek wird sich mit Themen und Herausforderungen befassen, die für heutige Sicherheitsverantwortliche am wichtigsten sind, und mit der Frage, wie die Zukunft als Hauptverteidiger des Unternehmens aussieht.
Den Kurs beizubehalten und an strategischen Zielen festzuhalten, ermöglicht es Sicherheitsexperten, die Sicherheitslage ihres Unternehmens stetig und kontinuierlich zu verbessern. (Joshua Goldfarb)
Sollten wir uns in einer Sackgasse der KI-Zukunft befinden, wird sich die Cybersicherheitsbranche weiterhin stark auf traditionelle Ansätze verlassen, insbesondere auf solche, die von Menschen gesteuert werden. Allerdings wird es nicht ganz so weitergehen wie bisher. (Oliver Rochford)
Wenn Teams die Möglichkeit haben, Unternehmenssilos aufzubrechen und zu sehen und zu verstehen, was passiert, können sie den Schutz in ihrer zunehmend verteilten und vielfältigen Umgebung verbessern. (Matt Wilson)
Unabhängig davon, auf welchen Anwendungsfall sich Ihre Sicherheitsorganisation konzentriert, werden Sie wahrscheinlich Zeit und Ressourcen verschwenden und schlechte Entscheidungen treffen, wenn Sie nicht damit beginnen, Ihre Bedrohungslandschaft zu verstehen. (Marc Solomon)
Industriestandard-Frameworks und -Richtlinien verleiten Unternehmen oft zu der Annahme, dass die Bereitstellung weiterer Sicherheitslösungen zu einem besseren Schutz vor Bedrohungen führt. (Torsten George)
Cycode, ein Startup, das Lösungen zum Schutz von Software-Quellcode anbietet, ist am Dienstag mit einer Startfinanzierung in Höhe von 4,6 Millionen US-Dollar aus dem Tarnmodus herausgekommen.
PayPal macht rund 35.000 Personen darauf aufmerksam, dass ihre Konten Ziel einer Credential-Stuffing-Kampagne sind.
GitHub gab diese Woche den Widerruf von drei Zertifikaten bekannt, die für die GitHub Desktop- und Atom-Anwendungen verwendet werden.
Drupal hat Updates veröffentlicht, die vier Schwachstellen im Drupal-Kern und drei Plugins beheben.
Eine CSRF-Schwachstelle im Source Control Management (SCM)-Dienst Kudu könnte ausgenutzt werden, um eine Remotecodeausführung in mehreren Azure-Diensten zu erreichen.
Während es viele Wege zur Anwendungssicherheit gibt, gibt es Pakete, die es Sicherheitsteams ermöglichen, Anwendungen schnell und einfach zu sichern und den Sicherheitsstatus in ... zu beeinflussen.
Fortinet hat am Montag einen Notfall-Patch herausgegeben, um eine schwerwiegende Sicherheitslücke in seinem SSL-VPN-Produkt FortiOS zu schließen, und warnt davor, dass Hacker die Sicherheitslücke bereits ausgenutzt haben.
Viele Entwickler und Sicherheitsexperten geben zu, dass es zu einem Verstoß durch kompromittierte API-Zugangsdaten gekommen ist.
Das OWASP-Ranking für die größten API-Sicherheitsrisiken im Jahr 2023 wurde veröffentlicht. Die Liste enthält viele Parallelen zur Liste von 2019, einige Umstrukturierungen/Neudefinitionen und einige neue Konzepte. Verwandte Verwandte Verwandte