APIs bilden das Rückgrat vieler moderner Anwendungen. Sie ermöglichen es verschiedenen Diensten, miteinander zu kommunizieren und Daten auszutauschen. Gleichzeitig stellt jedes API‑Endpunkt einen potenziellen Angriffspunkt dar. Das Open Web Application Security Project (OWASP) hat daher 2023 eine aktualisierte Liste der zehn grössten API‑Sicherheitsrisiken veröffentlicht.
API1: Fehlerhafte Objektzugriffskontrolle (Broken Object Level Authorization). Viele APIs verwenden Objekt‑IDs, um Datensätze anzusprechen. Wenn die Anwendung nicht prüft, ob der angemeldete Benutzer tatsächlich berechtigt ist, auf das jeweilige Objekt zuzugreifen, können Angreifer durch das Manipulieren der ID auf fremde Daten zugreifen.
API2: Fehlerhafte Authentifizierung. Unsichere Implementierungen der Authentifizierung führen dazu, dass Sitzungstokens gestohlen oder erraten werden können. So können Angreifer Identitäten übernehmen und mit fremden Rechten Aktionen ausführen.
API3: Fehlerhafte Autorisierung auf Feldebene (Broken Object Property Level Authorization). Manche APIs liefern zu viele Informationen zurück oder akzeptieren Felder, die der Benutzer gar nicht ändern darf. Wenn eine feingranulare Prüfung fehlt, können Angreifer sensible Daten einsehen oder Felder manipulieren.
API4: Unbegrenzter Ressourcenverbrauch. Jede API-Abfrage verbraucht Ressourcen wie Netzwerkbandbreite, CPU, Speicher oder kostenpflichtige Dienste wie SMS-Versand. Fehlen Schutzmechanismen wie Rate‑Limiting oder Größenbeschränkungen, können böswillige Akteure den Dienst mit einer Flut an Anfragen überlasten oder hohe Kosten verursachen.
API5: Fehlerhafte Funktionsautorisierung. Oft gibt es unterschiedliche Funktionen für normale Benutzer und Administratoren. Werden die Berechtigungen nicht sauber geprüft, können Angreifer Funktionen ausführen, die ihnen eigentlich nicht zustehen – zum Beispiel das Löschen oder Anlegen von Konten.
API6: Unbegrenzter Zugriff auf sensible Geschäftsabläufe. Manche APIs bilden Geschäftsprozesse ab, etwa Reservierungen oder Bestellungen. Wenn sie ohne Beschränkungen automatisiert genutzt werden können, ist Missbrauch möglich – etwa das Blockieren sämtlicher Tickets durch Bots.
API7: Server‑Side‑Request‑Forging (SSRF). Wenn ein API‑Endpunkt einen vom Benutzer übergebenen Link abruft, kann dieser missbraucht werden, um interne Systeme aus dem internen Netzwerk anzusprechen. Dadurch können interne Dienste offengelegt werden, die eigentlich nicht erreichbar sein sollten.
API8: Sicherheitsfehlkonfiguration. Dazu zählen Fehlkonfigurationen wie offene Debug‑Schnittstellen, Standardpasswörter, falsch konfigurierte CORS‑Header oder unverschlüsselte Verbindungen. Solche Nachlässigkeiten öffnen Angreifern die Tür.
API9: Unzureichendes Inventarmanagement. In vielen Unternehmen existieren zahlreiche APIs und Versionen. Wenn es an einem gepflegten Verzeichnis der aktiven Endpunkte fehlt, bleiben veraltete oder vergessene Schnittstellen online und bieten unentdeckte Angriffsflächen.
API10: Unsicherer Umgang mit APIs. Anwendungen konsumieren häufig externe APIs. Wenn die Antworten dieser Dienste ungeprüft übernommen werden oder externe Integrationen zu viel Vertrauen genießen, können Angreifer Schadcode einschleusen oder Sicherheitsmechanismen umgehen.
Diese Top‑10‑Liste dient als Leitfaden für Entwickler und Sicherheitsteams. Wer die Grundlagen versteht, kann robuste Kontrollen implementieren, Risiken minimieren und den sicheren Betrieb seiner APIs gewährleisten.
Zerberos bietet Penetration‑Testing‑Services für API‑Endpunkte nach dem OWASP‑Standard an, die dabei helfen, Sicherheitslücken aufzuspüren und zu beheben.