Web-APIs stecken unter der Haube moderner Single-Page-Webanwendungen und mobiler Apps und machen einen großen Teil des Internetverkehrs aus. Sicherheit ist auch hier, beim Entwerfen und Entwickeln von Schnittstellen, ein Thema, das nach wie vor vernachlässigt wird. Dem versucht das Open Web Application Security Project (OWASP) entgegenzuwirken, eine Non-Profit-Organisation es, deren Ziel es ist, die Sicherheit im Web zu verbessern.
Deren wohl bekannteste Veröffentlichung sind die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Weniger geläufig sind die OWASP API Security Top 10, eine Aufzählung der kritischsten und am weitesten verbreiteten Sicherheitslücken in Web-Schnittstellen. Ende 2019 veröffentlichte die „API Security“-Arbeitsgruppe der OWASP eine erste Version, im Juni 2023 erschien eine aktualisierte Version der API-Liste.
Der Vortrag stellt anhand der OWASP API Security Top 10 Angriffe auf Schnittstellen vor, geht den Ursachen auf den Grund und zeigt, was bei der Entwicklung dagegen hilft. Was müssen Architekten und Entwickler bei Mechanismen zur Authentifizierung und Autorisierung beachten? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken entstehen durch fehlende Eingabevalidierung? Warum ist eine Schutzmaßnahme wie Rate Limiting wichtig, und wodurch kann ein Angreifer sie umgehen?