OWASP API Security Top 10 2023

Wie APIs angegriffen werden und wie Entwickler sicher entwickeln.

Sicherheit ist ein wichtiges Thema, das beim Entwerfen und Entwickeln von Schnittstellen noch vernachlässigt wird. Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Ihre wohl bekannteste Veröffentlichung ist die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Weniger geläufig sind OWASP API Security Top 10, eine Aufzählung der kritischsten und am weitesten verbreiteten Sicherheitslücken in Web-Schnittstellen. Web-APIs stecken unter der Haube moderner Single-Page-Webanwendungen und mobiler Apps und machen einen großen Teil des Internetverkehrs aus. Ende 2019 veröffentlichte die „API Security“-Arbeitsgruppe der OWASP deren erste Version. Anfang 2023 erschien eine aktualisierte Version der API-Liste.

Der Vortrag stellt anhand der OWASP API Security Top 10 Angriffe auf Schnittstellen vor, ihre Ursachen und was bei der Entwicklung dagegen hilft. Was müssen Architekten und Entwickler bei Mechanismen zur Authentifizierung und Autorisierung beachten? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken entstehen durch fehlende Eingabevalidierung? Warum ist eine Schutzmaßnahme wie Rate Limiting wichtig und wodurch kann ein Angreifer sie umgehen? Sicherheit muss beim Entwickeln von Schnittstellen von Anfang an berücksichtigt werden – dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt. Der Vortrag hilft, diese Lücken zu schließen, und gibt Hinweise auf weiterführende Quellen zum tieferen Auseinandersetzen mit dem Thema.