Barracuda full logo

OWASP Top 10 API-Security-Risiken: Update 2023

Themen:
17. März. 2023
|
Paul Dughi

Das OWASP API Security Project aktualisiert seine Top 10 API-Security-Risiken für 2023. Die neue Liste, die zuletzt 2019 aktualisiert wurde, bestätigt viele der gleichen Risiken, fügt einige neue hinzu und streicht ein paar von der Liste. Protokollierung, Überwachung und Einschleusung gehören beispielsweise nicht mehr zu den Top-10-Risiken, obwohl sie immer noch wichtige Faktoren sind. Neu auf der Liste sind serverseitige Anforderungsfälschung (SSRF) und unsichere Nutzungen von API.

Aktuell ist die Liste noch nicht abgeschlossen, aber sie ist auf der OWASP-Github-Site zur Überprüfung und zum Kommentieren verfügbar. So wie es aussieht, sind hier die Punkte, die es auf die Liste 2023 geschafft haben:

  1. Fehlerhafte Autorisierung auf Objektebene
  2. Fehlerhafte Authentifizierung
  3. Fehlerhafte Autorisierung auf Eigenschaftsebene des Objekts
  4. Uneingeschränkter Ressourcenverbrauch
  5. Fehlerhafte Autorisierung auf Funktionsebene
  6. Serverseitige Anforderungsfälschung
  7. Security-Fehlkonfiguration
  8. Mangelnder Schutz vor automatisierten Bedrohungen
  9. Unsachgemäßes Asset-Management
  10. Unsichere Nutzung von API

1. Fehlerhafte Autorisierung auf Objektebene

Die Autorisierung auf Objektebene, die in der Regel auf Codeebene zur Benutzervalidierung implementiert wird, ist eine Kontrollmethode, um den Zugriff auf Objekte einzuschränken. Wenn die Autorisierung auf Objektebene nicht ordnungsgemäß durchgesetzt wird, können Systeme offengelegt werden. Eine solche Schwachstelle wurde bei Uber entdeckt,  indem API-Anfragen einschließlich Benutzertelefonnummern gesendet wurden, um Zugriff auf Token zu erhalten und Bearbeitungssysteme zu manipulieren.

Angriffsvektoren: Angriffe nutzen API-Endpunkte aus, indem sie Objekt-IDs manipulieren, die innerhalb einer Anforderung gesendet werden. Dieses Problem tritt leider recht häufig in API-basierten Anwendungen auf, wenn serverseitige Komponenten nicht den vollständigen Client-Status verfolgen, sondern mehr auf Objekt-IDs angewiesen sind.

Security-Schwäche: Autorisierung und Zugriffskontrollen sind komplex. Selbst mit geeigneten Protokollen und Konfigurationen vergessen Entwickler manchmal, Autorisierung-Überprüfungen durchzuführen, bevor auf vertrauliche Objekte zugegriffen wird. Diese Zustände eignen sich nicht gut für automatische Prüfungen

2. Fehlerhafte Authentifizierung

Authentifizierungsendpunkte sind für eine Reihe von Risiken anfällig, darunter Brute-Force-Angriffe, Zugangsdaten-Stuffing, schwache Verschlüsselung und Verbindungen zu anderen Microservices ohne Authentifizierung.

Angriffsvektoren: Da diese Endgeräte für Personen außerhalb einer Organisation zugänglich sein können, gibt es mehrere potenzielle Bedrohungen. Es kommt häufig vor, dass die gesamte Grenze für die Authentifizierung nicht vollständig geschützt wird oder die angemessenen Sicherheitsprotokolle nicht implementiert sind.

Security-Schwache: OWASP weist auf zwei spezifische Probleme bei der Endpunktauthentifizierung hin:

  • Fehlende Schutzmechanismen, für zusätzliche Schutzebenen
  • Fehlerhafte Implementierung von Authentifizierungsmechanismen oder die Verwendung des falschen Mechanismus für Anwendungen

3. Fehlerhafte Autorisierung auf Eigenschaftsebene des Objekts

Beim Zugriff auf ein Objekt über eine API müssen Benutzer validiert werden, um sicherzustellen, dass sie die Berechtigung haben, auf bestimmte Objekteigenschaften zuzugreifen. Eine fehlerhafte Autorisierung auf Eigenschaftsebene des Objekts kann unbefugten Benutzern den Zugriff auf Objekte und deren Änderung ermöglichen.

Angriffsvektoren: Bedrohungsakteure nutzen anfällige API-Endpunkte zum Lesen, Ändern, Hinzufügen oder Löschen von Objekteigenschaftswerten für Objekte aus, die Angreifern nicht zur Verfügung stehen sollten.

Security-Schwäche: Selbst wenn Entwickler Validierungen für den Benutzerzugriff auf Funktionen und Objekte bereitstellen, validieren sie möglicherweise nicht, ob Benutzer auf bestimmte Eigenschaften innerhalb von Objekten zugreifen dürfen.

4. Uneingeschränkter Ressourcenverbrauch

Ohne Einschränkungen auf API-Anfragen können Angreifer, die mehrere Anfragen senden oder Ressourcen überschwemmen, Denial-of-Service-Angriffe (DoS) implementieren und auch finanziellen Schaden für diejenigen verursachen, die nutzungsabhängige Abrechnung verwenden. Distributed Denial of Service (DDoS)-Angriffe haben in den letzten zwei Jahren erheblich zugenommen, um bis zu 60 %.

Angriffsvektoren: API können ausgenutzt werden, indem mehrere gleichzeitige Anfragen an API ohne Einschränkung von Interaktionen gesendet werden.

Security-Schwäche: API schränken Aktivitäten wie Ausführungszeitüberschreitungen, maximal zulässigen Speicher, die Anzahl der Operationen in Kundenanfragen oder die Implementierung von Ausgabenlimits von Drittanbietern häufig nicht ein. Selbst mit Protokollierung können bösartige Aktivitäten in den frühen Stadien leicht unbemerkt bleiben.

5. Fehlerhafte Autorisierung auf Funktionsebene

Wenn die Autorisierung auf Funktionsebene Benutzern den Zugriff auf administrative Endpunkte ermöglicht, können sie vertrauliche Aktionen ausführen.

Angriffsvektoren: Angreifer können API-Schwächen aufdecken, weil sie in der Zugriffsmethodik strukturierter und vorhersehbarer sind. Sie können dann legitime API-Aufrufe an Endpunkte senden, auf die sie keinen Zugriff haben sollten. In einigen Fällen kann es so einfach sein, wie die Endpunkt-URL zu erraten und „Benutzer“ in „Administratoren“ in Zeichenfolgen zu ändern.

Security-Schwäche: Moderne Anwendungen enthalten viele Rollen, Gruppen und komplexe Benutzerhierarchien. Benutzer können unterschiedliche Rollen für verschiedene Bereiche oder Objekte haben, daher kann es schwierig sein, dies zu überwachen.

6. Serverseitige Anforderungsfälschung

Server Side Request Forgery (SSRF) kann auftreten, wenn eine API eine Remote-Ressource abruft, ohne zuerst die von den Benutzern bereitgestellte URL zu validieren. Server können als Proxys verwendet werden, um bösartige Aktivitäten zu verbergen. Forscher haben kürzlich vier solcher Instanzen von SSRF-Schwachstellen mit Azure API Management gefunden, die inzwischen gepatcht wurden.

Angriffsvektoren: Angreifer finden einen API-Endpunkt, der eine universelle Ressourcenkennung (Universal Resource Identifier, URI) erhält, und zwingen die Anwendung, eine Anfrage an ein unerwartetes Ziel zu senden — selbst wenn Ziele über eine Firewall oder ein VPN geschützt sind.

Security-Schwäche: Die Anwendungsentwicklung enthält häufig den Zugriff auf vom Kunden bereitgestellte URI, und der serverseitige Datenabruf wird im Allgemeinen nicht protokolliert oder überwacht.

7. Security-Fehlkonfiguration

Die Verbesserung der Security des API-Stacks sollte eine Top-Priorität für Entwickler sein, aber Berechtigungen werden häufig nicht angemessen oder nicht einheitlich auf alle Cloud-Services angewendet. In anderen Fällen sind Security-Patches und Software veraltet. Es gab mehrere aufsehenerregende Fälle, in denen Unternehmen ihre Cloud-Ressourcen nicht ordnungsgemäß geschützt hatten, wie z. B. das United States Army Intelligence and Security Command. In diesem Fall enthielten die ungeschützten Daten einige als streng geheim eingestufte Dateien.

Angriffsvektoren: Bedrohungsakteure suchen aktiv nach nicht gepatchten Schwächen und ungeschützten Dateien oder Verzeichnissen und greifen gemeinsame Endpunkte an, um Systeme zuzuordnen und unbefugten Zugriff zu erhalten. Diskrepanzen in der Art und Weise, wie Anfragen behandelt und verarbeitet werden, öffnen Angriffsvektoren.

Security-Schwäche: Fehlkonfigurationen können auf jeder Ebene vom Netzwerk bis zur Anwendung auftreten. Veraltete Optionen und unnötige Services können außerdem zusätzliche Angriffswege schaffen.

8. Mangelnder Schutz vor automatisierten Bedrohungen

Cyberkriminelle und andere Bedrohungsakteure entwickeln ihre Taktiken zunehmend weiter und API sind die Hauptziele. Automatisierung ist billig und im Dark Web weit verbreitet. Die API selbst weisen möglicherweise keine Mängel oder Fehler auf, aber der zugrunde liegende Geschäftsablauf kann für übermäßige Aktivitäten anfällig sein.

Angriffsvektoren: Angreifer lernen API-Modelle und Geschäftsabläufe kennen und nutzen sie dann mit automatisierten Tools aus. Die Verwendung von automatisierten Tools und Botnets kann zum Beispiel die Raten-Begrenzung umgehen und Anfragen über IP-Adressen verteilen.

Security-Schwäche: Die Herausforderung besteht darin, dass jede Anfrage legitim erscheinen kann und daher nicht als Angriff identifiziert wird. Diese automatisierten Angriffe können jedoch Systeme überfluten und legitime Benutzer am Zugriff hindern.

9. Unsachgemäßes Asset-Management

API über Anwendungen hinweg können sehr komplex und miteinander verwoben sein. Die Konnektivität mit Drittanbietern erhöht die Gefährdung durch Bedrohungen und häufig werden mehrere Versionen von API ausgeführt, die nicht verwaltet werden. Bei veralteter oder fehlender Dokumentation kann es schwierig sein, alles im Blick zu behalten.

Angriffsvektoren: Angreifer können auf ältere API-Versionen oder nicht gepatchte Endpunkte zugreifen. Sie können sich auch Zugriff durch Dritte verschaffen.

Security-Schwäche: Ein Mangel an Inventar- oder Asset-Management kann zu einer Vielzahl von Problemen führen, einschließlich nicht gepatchter Systeme. API-Hosts können über Microservices exponiert werden, die Anwendungen in vielen Fällen unabhängig machen. Ein Mangel an systematischen und dokumentierten Methoden zur Bereitstellung, Verwaltung und Einstellung von API kann zu unterschiedlichen Security-Schwächen führen.

10. Unsichere Nutzung von API

Wenn Sie mit bekannten Drittanbietern und Lieferanten zusammenarbeiten, können Sie den Daten, die Sie erhalten, im Allgemeinen vertrauen und möglicherweise weniger strenge Security-Standards anwenden. Wenn Bedrohungsakteure allerdings Daten von Dritten verletzen können, sind sie möglicherweise in der Lage, Schaden über API anzurichten, die Sie verbinden. Heute erfolgt  Hälfte der Datenverletzungen aufgrund der Konnektivität von Drittanbietern.

Angriffsvektoren: Die Ausnutzung von Security-Schwächen in API erfolgt, wenn Entwickler API-Interaktionen mit Endpunkten vertrauen, ohne sie zu verifizieren und vollständig zu schützen. Sie schränken zum Beispiel Ressourcen nicht angemessen ein, validieren Weiterleitungen nicht oder validieren/bereinigen Datenanfragen von API vor der Verarbeitung nicht.

Security-Schwäche: Security-Schwächen treten häufig auf, wenn schwächere Security-Modelle auf API-Integrationen angewendet werden, insbesondere in Bereichen wie Transportsicherheit, Eingabevalidierung, Daten-Validierung, Authentifizierung und Autorisierung. Dies setzt Organisationen unbefugtem Zugriff und böswilligem Einschleusen aus.

OWASP akzeptiert Kommentare und Feedback

Die OWASP API Security Top 10 wurde entwickelt, um Organisationen dabei zu unterstützen, die wichtigsten Risiken und Bedrohungen im Zusammenhang mit ihren API zu verstehen und um Anleitungen zur Verstärkung der Security zu geben.

OWASP ist aktuell an Beiträgen und Feedback zu der Liste vor ihrer endgültigen Veröffentlichung interessiert. Sie können die Liste überprüfen und Kommentare über den Issue-Tracker auf der Github-Website abgeben .

E-Book: Das neue ABC der Anwendungssicherheit
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
 Navigieren im API-Release-Zyklus
Navigieren im API-Release-Zyklus
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.