
OWASP Top 10 API-Security-Risiken: Uneingeschränkter Ressourcenverbrauch
Nummer vier auf der Entwurfsliste des Open Worldwide Application Security Project® (OWASP) der „Top 10 API Security-Risiken“ ist der uneingeschränkte Ressourcenverbrauch.
Am häufigsten ermöglicht es der uneingeschränkte Ressourcenverbrauch Angreifern, API-Endpunkte mit Anfragen zu überfordern, um Benutzern den Service zu verweigern.
Angriffsvektoren
OWASP hat dem uneingeschränkten Ressourcenverbrauch eine Ausnutzbarkeit-Punktzahl von zwei zugewiesen, was bedeutet, dass er von Hackern leicht ausgenutzt werden kann.
Angreifer verwenden einfache API-Anfragen mit einem einzelnen Computer oder Cloud Computing, um mehrere Anfragen gleichzeitig auszuführen. Wenn APIs die Client-Interaktionen oder den Ressourcenverbrauch nicht begrenzen, kann dies die APIs überlasten und zu Zeitüberschreitungen bei der Ausführung, Überschreitung des maximal zuweisbaren Speichers und einer Drosselung der Bandbreite führen.
Security-Schwächen
OWASP stuft den uneingeschränkten Ressourcenverbrauch auf der Skala der Verbreitung und Erkennbarkeit mit einer Drei ein, was bedeutet, dass die Schwachstelle weit verbreitet ist und relativ leicht entdeckt werden kann. Dennoch ist es üblich, APIs zu finden, die Interaktionen und Nutzung nicht einschränken. Ein Angreifer kann beispielsweise API-Endpunkte ändern, um Massenmengen an Daten in einer einzigen Interaktion zurückzugeben.
Auch wenn die meisten Interaktionen protokolliert werden, kann ein Mangel an Überwachung und Warnungen dazu führen, dass bösartige Aktivitäten unbemerkt bleiben.
Geschäftliche Auswirkungen
Zu den geschäftlichen Auswirkungen gehört Denial-of-Service (DoS) aufgrund von Ressourcenknappheit. Wenn API-Endpunkte mit Anfragen überlastet werden, kann dies die Leistung erheblich beeinträchtigen. Angreifer können API-Ressourcen wie CPU, Speicher und Arbeitsspeicher schnell erschöpfen, was zum Ausfall von Systemen führt.
Zu den geschäftlichen Auswirkungen gehören:
- APIs sind nicht für die Verarbeitung legitimer Anfragen nicht verfügbar
- Brute-Force-Angriffe und Befehlseinspeisung-Angriffe in großem Maßstab
- Diebstahl von Zugriffstoken und unbefugter Zugriff auf sensible Daten
- Exfiltration von Daten
- Ausufernde Zugriffsgebühren für die API-Nutzung
Diese Angriffe werden oft als Vorwand verwendet, um andere bösartige Aktivitäten zu verschleiern. Während sich Security-Teams beispielsweise mit DoS-Angriffen befassen und versuchen, den Service für Benutzer wiederherzustellen, könnten andere Angriffe im Gange sein.
So funktioniert uneingeschränkter Ressourcenverbrauch
Wenn eine Software die Menge der Ressourcen nicht einschränkt, die von Benutzern angefordert werden kann, können Angreifer diese Schwachstelle ausnutzen, um Systeme zu überlasten Solche Angriffe sind in den letzten Jahren immer häufiger geworden und nehmen weiter zu: Im 1. Quartal 2023 nahmen sie um 47 % im Vergleich zum gleichen Zeitraum 2022 zu.
Angreifer nutzen auch Botnets und Netzwerke von kompromittierten Geräten, um API-Endpunkte mit Anfragen zu überfluten, was zum Absturz oder Hängenbleiben der Systeme in Form von Distributed Denial of Service (DDoS) -Angriffen führt.
Beispiele aus der Praxis
Ein Verstoß bei T-Mobile legte die Daten von mehr als 30 Millionen Kunden offen. Daten von fast einer Million Kunden wurden einen Monat lang täglich über einen API-Endpunkt exfiltriert, ohne dass Ratenbegrenzungen oder zeitlichen Verhaltensanomalien auftraten. Obwohl dieser Angriff keine Leistungseinbußen zur Folge hatte, konnten die Angreifer über einen längeren Zeitraum große Datenmengen unbemerkt abgreifen.
OWASP beschreibt auch mehrere Angriffsszenarien, wie die Kreditkartenaktivierung, bei der Benutzer zur Aktivierung des Kontos die letzten vier Ziffern eines Kontos angeben müssen. Wenn eine API die Anzahl der Versuche für einen Vorgang nicht einschränkt, können Brute-Force-Taktiken eingesetzt werden, um Erfolg zu haben.
Ein anderes Beispiel wären Angreifer, die große Bilder hochladen, indem sie eine POST-Anfrage an eine API stellen, die mehrere Miniaturansichten in verschiedenen Größen erstellt. Aufgrund der Größe des Uploads wird der verfügbare Arbeitsspeicher beansprucht, was dazu führt, dass die API nicht mehr reagiert. Das gleiche Szenario könnte auf APIs angewendet werden, von denen die Größe der im Cloud-Objektspeicher gespeicherten Daten nicht begrenzt wird. Da bei neuen Abfragen die größeren Dateien ohne Verbrauchswarnungen abgerufen werden, können die monatlichen Gebühren erheblich steigen.
Erkennen von Schwachstellen bei uneingeschränktem Ressourcenverbrauch
Das erste Anzeichen einer Schwachstelle bei uneingeschränktem Ressourcenverbrauch tritt häufig dann auf, wenn ein DoS-Angriff ohne Warnung gestartet wird. Entwickler sollten sicherstellen, dass Warnzeichen überwacht werden, wie zum Beispiel:
- IP-Adressen, die mehrere Verbindungsanfragen innerhalb kurzer Zeiträume senden.
- Verkehrsquellen, die immer wieder ähnliche Datensätze auf eine Weise abfragen, die keinen Zusammenhang mit dem typischen Benutzerverhalten hat.
- Zeitüberschreitungen bei unerwarteten Leistungsverzögerungen oder Time-to-Live-Ping-Anfragen (TTL).
- Ungewöhnliche API-Anfragen ohne offensichtliche Erklärung.
Die proaktive Simulation von DoS-Angriffen, um nach Schwachstellen zu suchen und die Bereitstellung von Einschränkungen der Anzahl der Ressourcen, die einer API-Anfrage zugeordnet werden können, tragen ebenfalls dazu bei, solche Angriffe zu erkennen und zu verhindern.
Verhindern von Schwachstellen hinsichtlich uneingeschränkten Ressourcenverbrauchs
Zur Verhinderung von Schwachstellen durch uneingeschränkten Ressourcenverbrauch ist es erforderlich, Speicher, CPU, Neustarts, Dateideskriptoren und andere Anfragen auf eine angemessene Anzahl zu beschränken. Durch die Definition und Durchsetzung einer maximalen Datengröße für alle eingehenden Payloads können Entwickler beispielsweise den Ressourcenverbrauch einschränken.
Web-Applikation-Firewalls sollten so konfiguriert sein, dass sie jeden API-Endpunkt schützen, um den mit DoS- und DDoS-Angriffen verbundenen Verkehr zu erkennen und zu blockieren, einschließlich:
Ratenbegrenzung
Einschränken, wie oft Clients innerhalb eines definierten Zeitrahmens mit APIs basierend auf Geschäftsanforderungen interagieren können.
Drosselung
Einschränken, wie oft ein einzelner API-Benutzer Vorgänge ohne zusätzliche Validierung-Anforderungen ausführen kann.
Serverseitige Validierung
Strengere Kontrolle der Anzahl von Datensätzen, die in der API-Antwort zurückgegeben werden können.
Anforderungslimits konfigurieren
Einschränkungen und Warnungen für Serviceanbieter und API-Integrationen einsetzen, um übermäßige Anfragen zu kennzeichnen.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.