Het Open Web Application Security Project (OWASP), een stichting zonder winstoogmerk die zich inzet voor de beveiliging van webtoepassingen, heeft onlangs de OWASP API Security Top 10 lijst van 2023 gepubliceerd. De lijst heeft tot doel om mensen bewust te maken van de meest voorkomende API beveiligingsrisico’s die organisaties teisteren en hoe ze zich hiertegen kunnen verdedigen.
De lijst van 2023 is een update van de oorspronkelijke lijst, die in 2019 werd gepubliceerd. Sindsdien zijn API-dreigingen in een stroomversnelling geraakt en geëvolueerd, wat wordt weerspiegeld in de nieuwe lijst. Bij Salt zijn we er trots op te hebben geholpen bij het opstellen van de eerste lijst en aan de nieuwe lijst hebben we ook een belangrijke bijdrage geleverd.
Inzicht in deze kwetsbare plekken zijn belangrijk voor organisaties om de toenemende API-risico’s voor te blijven. Hieronder vindt je de voornaamste bedreigingen en kwetsbaarheden uit de nieuwe lijst, samen met de veranderingen ten opzichte van de oorspronkelijke lijst:
OWASP API Security Top 10 2023
API1:2023 – Broken Object Level Authorisatie (BOLA)
‘Broken Object Level autorisatie’ komt voort uit een gebrek aan goede toegangscontroles op API-endpoints, waardoor onbevoegde gebruikers toegang kunnen krijgen tot gevoelige gegevens en deze kunnen wijzigen. BOLA komt voor in ongeveer 40% van alle API-aanvallen en is de meest voorkomende bedreiging voor API-beveiliging. BOLA staat sinds 2019 op nummer één in de OWASP-lijst en hebben hun toppositie behouden in de versie van 2023.
API2:2023 – Broken Authenticatie
‘Broken authenticatie’ stelt aanvallers in staat om gestolen authenticatietokens, credential stuffing en brute-force aanvallen te gebruiken om ongeautoriseerde toegang tot applicaties te krijgen. De onjuiste social login functionaliteit op Booking.com (inmiddels hersteld) biedt een goed voorbeeld van gebroken authenticatie, wat had kunnen leiden tot potentiële ATO-aanvallen. Dit beveiligingslek voor API-authenticatie behoudt sinds 2019 zijn nummer twee positie op de OWASP-lijst.
API3: 2023 – Broken Object Property Level Authorisatie
‘Broken Object Property Level Authorisatie’ voegt aanvallen samen die ontstaan door ongeautoriseerde toegang te krijgen tot gevoelige informatie via ‘excessive data exposure’ (eerder genoteerd als nummer 3 in de OWASP API Security Top 10 van 2019) of Mass Assignment (eerder op de zesde plaats in de lijst van 2019). Beide technieken zijn gebaseerd op API endpoint manipulatie om toegang te krijgen tot gevoelige gegevens.
API4:2023 Onbeperkt verbruik van resources
Deze kwetsbaarheid ontstaat in API’s die beperkingen op resourcegebruik niet goed implementeren of verwaarlozen, waardoor ze zeer vatbaar zijn voor brute-force aanvallen. Onbeperkte consumptie van resources is in de plaats gekomen van de vorige nummer 4 in de OWASP API Security Top 10, namelijk ‘Gebrek aan resources en ratebeperking’. Hoewel de naam is veranderd, blijft deze kwetsbaarheid over het algemeen hetzelfde.
API5: Broken Function Level Authorisatie (BFLA)
Deze dreiging krijgt vorm wanneer autorisatie niet goed is geïmplementeerd, wat ertoe leidt dat onbevoegde gebruikers API-functies kunnen uitvoeren, zoals het toevoegen, bijwerken of verwijderen van een klantrecord of een gebruikersrol. BFLA behoudt sinds 2019 zijn vijfde plaats op de lijst.
API6: Vrije toegang tot gevoelige bedrijfsstromen
Deze nieuwe dreiging, die ‘mass assignment’ heeft vervangen als nummer 6 in de OWASP API Security Top 10, manifesteert zich wanneer een API een bedrijfsstroom blootstelt zonder te compenseren voor de mogelijke schade die kan ontstaan als deze overmatig wordt gebruikt door middel van automatisering. Om van deze kwetsbaarheid gebruik te maken, moet een aanvaller de bedrijfslogica achter de betreffende API begrijpen, gevoelige bedrijfsstromen identificeren en toegang daartoe automatiseren om schade aan het bedrijf toe te brengen.
API7: Server-Side Request Forgery (SSRF)
‘Server Side Request Forgery’ kan optreden wanneer een door de gebruiker gecontroleerde URL wordt doorgegeven via een API en wordt gehonoreerd en verwerkt door de backend server. De API-beveiligingsrisico’s ontstaan wanneer de backend server probeert verbinding te maken met de URL die door de gebruiker is opgegeven, wat de deur opent voor SSRF. Deze dreiging heeft ‘Mass Assignment’ vervangen als nummer 6 op de OWASP API Security Top 10-lijst.
API8: Security Misconfiguratie
‘Security misconfiguratie’ is een verzamelnaam voor een breed scala aan beveiligingsmisconfiguraties die vaak een negatieve invloed hebben op de API-security als geheel en onbedoeld API-kwetsbaarheden introduceren. Deze dreiging stond op nummer 7 in de OWASP API Security Top 10-lijst die in 2019 werd uitgebracht en is in 2023 op dezelfde positie blijven staan.
API9: Improper Inventory Management
Deze dreiging is het gevolg van een verouderde of onvolledige inventaris die onbekende gaten in het API aanvalsoppervlak kan creëren, waardoor het moeilijk wordt om oudere versies van API’s te identificeren die buiten gebruik zouden moeten worden gesteld. ‘Improper Inventory Management’ heeft ‘Improper Assets Management’ vervangen als nummer 9 in de OWASP API Security Top 10 en hoewel de naam is veranderd om het belang van een accurate en up-to-date API-inventaris te benadrukken, blijft de dreiging hetzelfde. De inbreuk bij Optus is een perfect voorbeeld van deze kwetsbaarheid. Optus, het op één na grootste telecombedrijf in Australië, stelde meer dan 11,2 miljoen klantgegevens met tientallen PII’s bloot door een “vergeten” API die openbaar werd gemaakt.
API10: Onveilig gebruik van API’s
De onveilige API-kwetsbaarheid komt voort uit het onjuiste gebruik van API’s door API-clients, zoals het omzeilen van de API-authenticatiecontroles of het manipuleren van API-responses, wat kan leiden tot onbevoegde toegang en blootstelling van gegevens. Deze API-kwetsbaarheid kan worden benut via het gebruik van API-data zelf of door misbruik te maken van integratieproblemen van derden. ‘Onveilig gebruik van API’s’ heeft ‘onvoldoende logging en monitoring’ vervangen als nummer 10 in de OWASP API Beveiligings Top 10. Het meest relevante voorbeeld voor deze categorie is de beruchte Log4Shell aanval.
API’s zijn de lijm die moderne applicaties met elkaar verbindt en bedrijfsinnovatie mogelijk maakt. Maar ze zijn ook een primair doelwit voor aanvallers geworden. Als je de belangrijkste problemen begrijpt die een bedreiging vormen voor je API’s, ben je beter uitgerust om een krachtige en volwassen API-beveiligingsstrategie op te zetten.
Nico Wagemans, Regional Vice President EMEA bij Salt Security