Application Programming Interfaces
30.09.2019, 08:31 Uhr
Tipps für sichere APIs
Immer mehr Unternehmen nutzen APIs (Application Programming Interfaces) für digitale Geschäftsprozesse. Dies haben auch Hacker erkannt.
Der Application Protection Report von F5 Labs bietet zahlreiche Tipps für sichere APIs.
(Quelle: www.f5.com)
Sie suchen vor allem nach übermässigen Berechtigungen der APIs, die grundsätzlich Einblick in alle Bereiche innerhalb der Anwendungsinfrastruktur gewähren. Dabei reichen übliche Angriffsmethoden wie Injection, Brute Force, Parameter-Manipulation und Session Snooping.
Eine API ist sozusagen eine Benutzeroberfläche für andere Anwendungen statt für Menschen. Sie wird häufig mit API-Gateways verwaltet, die auf einem Anwendungsserver laufen. Die Verbreitung dieser Programmierschnittstellen hat in den letzten Jahren deutlich zugenommen, laut programmableweb.com von 12.000 im Jahr 2015 auf fast 22.000 Anfang 2019.
Gemäss dem Application Protection Report 2019 von F5 Labs zielten alle bis November 2018 erkannten API-bezogenen Vorfälle auf grosse Plattformen mit einer hohen Anzahl an APIs, wobei mobile Apps stark von einigen davon abhängig waren. Sämtliche seitdem entdeckten Vorfälle resultierten aus falsch konfigurierten Zugriffskontrollen. Mit anderen Worten: Die Unternehmen wussten nicht, dass ihre API offen war.
Eine Studie der North Carolina State University ermittelte, dass mehr als 100.000 Code-Repositories auf GitHub im Klartext gespeicherte API-Token und kryptografische Schlüssel enthalten – die idealen Werkzeuge für die API-Zugriffskontrolle. Tatsächlich nutzen immer mehr Entwickler Workarounds oder unsichere Prozesse und beheben dadurch entstehende Probleme nicht, wenn das Projekt in Betrieb geht.
