Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jun 04, 2023
Os 10 principais de segurança de API de 2023 da OWASP refinam a visão dos riscos de API
O ranking da OWASP para os principais riscos de segurança de API em 2023 foi publicado. O
O ranking da OWASP para os principais riscos de segurança de API em 2023 foi publicado. A lista inclui muitos paralelos com a lista de 2019, algumas reorganizações/redefinições e alguns novos conceitos.
Por
O ranking da OWASP para os principais riscos de segurança de API em 2023 foi publicado. A lista inclui muitos paralelos com a lista de 2019, algumas reorganizações/redefinições e alguns novos conceitos.
Aqui estão os 10 principais riscos de segurança da API OWASP de 2023 e uma comparação com a versão de 2019:
Nem as ameaças nem os riscos mudam drasticamente ao longo de alguns anos; mas eles evoluem, e nossa compreensão deles evolui igualmente. Isso é demonstrado pela listagem de 2023 – não tanto uma nova lista, mas um refinamento da lista existente.
As listas OWASP são um esforço colaborativo. Embora ninguém duvide de seu valor, nem todos – nem mesmo os envolvidos – concordam com todos os detalhes. Faça a remoção da exposição excessiva de dados da API3.
"Isso significa que resolvemos a exposição de dados confidenciais?" pergunta Jason Kent, da Cequence Security. "Não, a exposição de dados confidenciais é um grande problema. Na versão 2023 da API 3, estamos vendo um exemplo de alguém levando a exposição de dados confidenciais para a próxima etapa e quebrando a autorização no nível da propriedade. Não é uma substituição direta porque muitos dos itens da lista dependem da exposição de dados confidenciais. Esta é a maneira correta de apresentá-la? Acho que não, é um exemplo de opiniões divergentes."
Ao mesmo tempo, ele elogia a mudança de nome na API6 pelo que é fundamentalmente o mesmo risco. Os exemplos listados permanecem basicamente os mesmos: ambos são para um aplicativo de carona e ambos exploram algo no back-end. "Há algo sutil sobre a nomenclatura que faz com que o de 2023 pareça algo que precisa ser corrigido, em vez de ser nebuloso e confuso. Também ilustra nossas descobertas sobre como a segurança da API que não está funcionando corretamente acaba com a automação de ataque sendo utilizado contra ela."
O principal problema com a criação de uma lista de riscos detalhada e ordenada é a cadeia de riscos. As violações geralmente começam em uma API que a vítima esqueceu (API9). Isso pode fornecer dados confidenciais do usuário (API1), solicitando ao invasor que crie um bot para explorar a falha o mais longe e o mais rápido possível (tocando no API6).
"O novo API Top 10 pode não ser perfeito", conclui Kent, "mas mostra exatamente o que sabemos há vários anos. O cenário da segurança de API está mudando e as organizações precisam mudar com ele. Seja sabendo onde estão suas APIs, testando-as em busca de falhas ou mitigando bots que atacam seus fluxos desconhecidos, a segurança da API precisa ser o foco de todos - e esta nova lista é um ótimo lugar para começar."
Relacionado: OWASP Top 10 atualizado com três novas categorias
Relacionado: Versão final do OWASP Top 10 de 2017 lançada
Relacionado: OWASP propõe novas vulnerabilidades para 2017 Top 10
Kevin Townsend é colaborador sênior da SecurityWeek. Ele escreve sobre questões de alta tecnologia desde antes do nascimento da Microsoft. Nos últimos 15 anos ele se especializou em segurança da informação; e teve muitos milhares de artigos publicados em dezenas de revistas diferentes - desde The Times e Financial Times até revistas de informática atuais e antigas.
Assine o resumo por e-mail da SecurityWeek para se manter informado sobre as ameaças, tendências e tecnologias mais recentes, juntamente com colunas perspicazes de especialistas do setor.
A Cimeira de Detecção de Ameaças e Resposta a Incidentes da SecurityWeek reúne profissionais de segurança de todo o mundo para compartilhar histórias de guerra sobre violações, ataques APT e inteligência de ameaças.
O Fórum CISO da Securityweek abordará questões e desafios que são as principais preocupações dos líderes de segurança de hoje e como será o futuro como principais defensores da empresa.
Permanecer no curso e aderir aos objetivos estratégicos permite que os profissionais de segurança melhorem constante e continuamente a postura de segurança de sua organização. (Joshua Goldfarb)