Das OWASP API Security Project pflegt die maßgebliche Liste der zehn häufigsten API-Risiken. Die aktuelle Ausgabe stammt von 2023 und löst die Erstausgabe von 2019 ab. Neu hinzugekommen sind API6 (Unrestricted Access to Sensitive Business Flows) und API10 (Unsafe Consumption of APIs).
Drei der zehn Einträge sind reine Autorisierungsfehler: API1 (BOLA), API3 (BOPLA) und API5 (BFLA). Sie prüfen jeweils eine andere Ebene: Gehört dir dieses Objekt? Darfst du dieses Feld ändern? Darfst du diese Funktion aufrufen?
Broken Object Level Authorization
Zugriff auf fremde Objekte über manipulierte IDs (BOLA). Das häufigste und folgenreichste API-Risiko.
Broken Authentication
Schwächen bei Login, Token oder Sitzungen, die eine fremde Identität ermöglichen.
Broken Object Property Level Authorization
Zugriff auf oder Änderung einzelner Objekt-Eigenschaften jenseits der eigenen Rechte (BOPLA).
Unrestricted Resource Consumption
Fehlende Limits führen zu Überlast oder hohen Kosten, etwa durch teure Abfragen ohne Drosselung.
Broken Function Level Authorization
Aufruf von Funktionen, die der eigenen Rolle nicht zustehen, etwa Admin-Aktionen als normaler Nutzer (BFLA).
Unrestricted Access to Sensitive Business Flows
Automatisierter Missbrauch sensibler Abläufe, etwa Massen-Buchungen oder Käufe.
Server Side Request Forgery
Die API wird verleitet, Anfragen an interne Systeme zu stellen (SSRF).
Security Misconfiguration
Unsichere Standardeinstellungen, offene Debug-Endpunkte oder fehlende Härtung.
Improper Inventory Management
Veraltete, undokumentierte oder vergessene Endpunkte, Schatten- und Orphan-APIs.
Unsafe Consumption of APIs
Blindes Vertrauen in Daten von Drittanbieter-APIs, ohne eigene Prüfung.
Quellen
- OWASP API Security Top 10 (Übersicht, 2023) OWASP API Security Project, 2023
- Release Notes: Änderungen gegenüber 2019 OWASP API Security Project, 2023