Das OWASP API Security Project pflegt die maßgebliche Liste der zehn häufigsten API-Risiken. Die aktuelle Ausgabe stammt von 2023 und löst die Erstausgabe von 2019 ab. Neu hinzugekommen sind API6 (Unrestricted Access to Sensitive Business Flows) und API10 (Unsafe Consumption of APIs).

Im Fokus

Drei der zehn Einträge sind reine Autorisierungsfehler: API1 (BOLA), API3 (BOPLA) und API5 (BFLA). Sie prüfen jeweils eine andere Ebene: Gehört dir dieses Objekt? Darfst du dieses Feld ändern? Darfst du diese Funktion aufrufen?

API1

Broken Object Level Authorization

Zugriff auf fremde Objekte über manipulierte IDs (BOLA). Das häufigste und folgenreichste API-Risiko.

API2

Broken Authentication

Schwächen bei Login, Token oder Sitzungen, die eine fremde Identität ermöglichen.

API3

Broken Object Property Level Authorization

Zugriff auf oder Änderung einzelner Objekt-Eigenschaften jenseits der eigenen Rechte (BOPLA).

API4

Unrestricted Resource Consumption

Fehlende Limits führen zu Überlast oder hohen Kosten, etwa durch teure Abfragen ohne Drosselung.

API5

Broken Function Level Authorization

Aufruf von Funktionen, die der eigenen Rolle nicht zustehen, etwa Admin-Aktionen als normaler Nutzer (BFLA).

API6

Unrestricted Access to Sensitive Business Flows

Automatisierter Missbrauch sensibler Abläufe, etwa Massen-Buchungen oder Käufe.

API7

Server Side Request Forgery

Die API wird verleitet, Anfragen an interne Systeme zu stellen (SSRF).

API8

Security Misconfiguration

Unsichere Standardeinstellungen, offene Debug-Endpunkte oder fehlende Härtung.

API9

Improper Inventory Management

Veraltete, undokumentierte oder vergessene Endpunkte, Schatten- und Orphan-APIs.

API10

Unsafe Consumption of APIs

Blindes Vertrauen in Daten von Drittanbieter-APIs, ohne eigene Prüfung.

Quellen

Weiterlesen