
AppSec-Vorhersagen 2021: Angreifer schwenken zunehmend auf APIs um
Dies ist die zweite in einer dreiteiligen Reihe von AppSec-Vorhersagen für 2021. Die komplette Serie können Sie hier nachlesen.
Jedes Jahr veröffentliche ich unsere AppSec-Vorhersagen über drei der Bedrohungen, die im kommenden Jahr voraussichtlich die größten Probleme darstellen werden. In den vergangenen zwei Jahren lauteten die Vorhersagen: credential stuffing/account takeover attacks, API attacks und supply chain attacks. In diesem Jahr stützen sich unsere Vorhersagen auf unseren erweiterten Threat Intelligence Service, der Teil von Barracuda Advanced Bot Protection ist. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.
Angreifer schwenken zunehmend von Webanwendungen auf APIs um
Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden. So entstehen auch neuere Arten von Anwendungen wie Single Page Applications, die für die Arbeit mit mobilen Browsern konzipiert sind und mobile Apps simulieren, ohne dass eine App installiert werden muss.
„Bis 2021 werden mindestens ein Drittel der Unternehmen eine Multi-Experience-Entwicklungsplattform zur Unterstützung mobiler, Web-, Dialog- und Augmented-Reality-Entwicklung implementiert haben.“
Gartners API-Strategie-Reifegradmodell, Oktober 2019

APIs sind außerdem noch gefährlicher, weil sie direkten Zugriff auf viele sensible Informationen bieten. Ihre Bank-API kann Zugriff auf Ihre Sozialversicherungsnummer, Ihre Ausweisnummer oder Ihr Geburtsdatum geben. Eine unzureichend geschützte API ermöglicht es Angreifern, große Mengen dieser Daten abzurufen.
„APIs sind das neue Aushängeschild, aber die Sicherheitstechnologie hinkt hinterher.“Forrester stellt richtig fest, dass APIs nun einmal hier sind — aber die Sicherheitstechnologie hat nicht Schritt gehalten. Das gilt für die meisten neuartigen Technologien. Bei APIs sind einige sich wiederholende Muster erkennbar: fehlendes Rate Limiting (die Begrenzung der Anfragemöglichkeiten), fehlende Zugriffskontrolle und Autorisierung, fehlende rollenbasierte Kontrollen — und vor allem die Offenlegung von APIs, die im Internet getestet werden. Kürzlich kam es daher zu einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen, z. B. bei Airtel, Just Dial usw.
Forrester's API-Sicherheit: The Lurking Threat In Your Software, Okt. 2020
Verbreitung der Top-10-API-Schwachstellen von OWASP
API-Angriffe gelten inzwischen als so gefährlich, dass es eine Top-10-Liste für APIs von OWASP gibt. Die neue Top-10-Liste für APIs von OWASP zählt einige bekannte Angriffe der letzten Jahre aus den Listen der Webanwendungen. Alte Angriffe werden zu neuen, und in einigen Fällen scheint es, als hätten wir aus der Vergangenheit nichts gelernt. Angeführt werden einige der größten Bedrohungen. Rate Limiting ist eine davon. Dieses Problem tritt an vielen verschiedenen Stellen auf. Vor zwei Jahren gab es zum Beispiel eine TMobile-Apple-API für das Onboarding neuer Telefone, die kein Rate Limiting hatte. Man konnte beliebig oft versuchen, den PIN-Code eines Benutzers herauszufinden.Sie haben auch Injection-Angriffe wie die SQL-Injection , die seit langem ganz oben auf den Weblisten stehen — und weiterhin API-basierte Anwendungen plagen. Ganz oben steht BOLA. Diese Schwachstelle verursachte ein großes Problem, als Shopify vor einigen Jahren eine API ohne ordnungsgemäße Autorisierungskontrollen freilegte. Das Unternehmen prüfte nicht die Zugriffsberechtigungen für die Umsatzdaten von Shops, die auf ihrer Plattform gehostet werden, und veröffentlichte letztendlich die Daten vieler Shops.
Die Top-10-Liste für APIs von OWASP ist somit eine gute Idee, da sie Entwicklern Anhaltspunkte bietet, wogegen sie ihre APIs sichern sollten.
„Es wird oft APIs die Schuld zugeschoben, obwohl die Schwachstelle in Wirklichkeit bei der Anwendung, der Infrastruktur oder beim Benutzer liegt.“
Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020
Das gilt besonders für APIs. Entwickler geben letztendlich Informationen wie API-Schlüssel auf öffentlichen GitHub-Repositories preis und machen dann ein verdutztes Gesicht, wenn die API gehackt wird.
Machen Sie sich dieses Jahr auf viele öffentlichkeitswirksame API-Pannen (wie kürzlich bei der Parler iOS-App, bevor sie stillgelegt wurde) gefasst.
Kommen Sie nächste Woche für Teil drei in dieser Serie wieder. Weitere Informationen zu Anwendungssicherheit erhalten Sie in der informativen Podiumsdiskussion unserer Experten, in der sie über aktuelle Cybersecurity-Trends, Webanwendungssicherheit, Technologieprognosen für das Jahr 2021 und vieles mehr sprechen. Dieses Webinar ist kostenlos und on demand verfügbar: