15.11.2023 - 15:30 Uhr

Wie APIs angegriffen werden und wie Entwickler sicher entwickeln – OWASP API Security Top 10 2023

Web-APIs steck­en unter der Haube mod­ern­er Sin­gle-Page-Weban­wen­dun­gen und mobil­er Apps und machen einen großen Teil des Inter­netverkehrs aus. Sicher­heit ist auch hier, beim Entwer­fen und Entwick­eln von Schnittstellen, ein The­ma, das nach wie vor ver­nach­läs­sigt wird. Dem ver­sucht das Open Web Appli­ca­tion Secu­ri­ty Project (OWASP) ent­ge­gen­zuwirken, eine Non-Prof­it-Organ­i­sa­tion es, deren Ziel es ist, die Sicher­heit im Web zu verbessern.

Deren wohl bekan­nteste Veröf­fentlichung sind die OWASP Top 10, eine Liste der zehn kri­tis­chsten Sicher­heit­srisiken in Weban­wen­dun­gen. Weniger geläu­fig sind die OWASP API Secu­ri­ty Top 10, eine Aufzäh­lung der kri­tis­chsten und am weitesten ver­bre­it­eten Sicher­heit­slück­en in Web-Schnittstellen. Ende 2019 veröf­fentlichte die „API Security“-Arbeitsgruppe der OWASP eine erste Ver­sion, im Juni 2023 erschien eine aktu­al­isierte Ver­sion der API-Liste.

Der Vor­trag stellt anhand der OWASP API Secu­ri­ty Top 10 Angriffe auf Schnittstellen vor, geht den Ursachen auf den Grund und zeigt, was bei der Entwick­lung dage­gen hil­ft. Was müssen Architek­ten und Entwick­ler bei Mech­a­nis­men zur Authen­tifizierung und Autorisierung beacht­en? Warum darf man sich nicht auf Stan­dard­e­in­stel­lun­gen von Frame­works und Kom­po­nen­ten ver­lassen? Welche Sicher­heit­slück­en entste­hen durch fehlende Eingabeva­li­dierung? Warum ist eine Schutz­maß­nahme wie Rate Lim­it­ing wichtig, und wodurch kann ein Angreifer sie umgehen?

Lernziele

Sicherheit muss beim Entwickeln von Schnittstellen von Anfang an berücksichtigt werden – dieses Bewusstsein und das notwendige Wissen werden jedoch in Studium und Kursen unzureichend vermittelt. Der Vortrag hilft, diese Lücken zu schließen, und gibt Hinweise auf weiterführende Quellen zum tieferen Auseinandersetzen mit dem Thema.

Niveau

Grundlagen

Vorkenntnisse

Grundlegende Kenntnisse über REST-Schnittstellen
Frank Ully
Oneconsult Deutschland AG
Frank Ully schloss sein Studium als Technischer Redakteur (FH) ab und sammelte erste Berufserfahrung bei einem Softwarehersteller, wo er später unter anderem für die Informationssicherheit verantwortlich war. Nach dem berufsbegleitenden Masterstudiengang Security Management mit Spezialisierung auf IT-Sicherheit zertifizierte er sich zum Offensive Security Certified Expert (OSCE) sowie Offensive Security Certified Professional (OSCP). Er verfügt über diverse weitere Zertifikate, darunter Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM). Seit 2017 arbeitet Frank Ully bei der Oneconsult Deutschland AG in München, seit 2018 als Senior Penetration Tester & Security Consultant. Von Oktober 2020 bis Dezember 2021 war er Chief Technical Officer; seit Anfang 2022 beschäftigt er sich als Head of Research einen Großteil seiner Arbeitszeit mit Entwicklungen in der offensiven IT-Sicherheit. Er hält regelmäßig Vorträge und veröffentlicht Artikel in Fachzeitschriften wie der iX.