O Top 10 atualizado de segurança da API OWASP para 2023 está aqui
Página inicial » Rede de blogueiros de segurança » O Top 10 de segurança da API OWASP atualizado para 2023 está aqui
O Open Web Application Security Project (OWASP) é uma organização global sem fins lucrativos dedicada a melhorar a segurança do software. A fundação OWASP divulgou pela primeira vez uma lista dos 10 principais riscos de segurança enfrentados pelas APIs em 2019. Após alguns meses de debate saudável sobre o candidato a lançamento, agora temos a lista atualizada e finalizada para 2023. (https://owasp.org/ API-Segurança/edições/2023/en/0x11-t10/)
Embora 4 anos seja um tempo extremamente longo quando se trata de computação, o fato é que a maioria das organizações ainda está no processo de implementar melhores controles de segurança de API para se proteger contra o Top 10 de 2019. Além disso, lembre-se de que a lista contém dez categorias de vulnerabilidades, cada categoria abrigando múltiplas vulnerabilidades.
Comparando as listas, não é de admirar que o 2023 RC permaneça bastante próximo ao de 2019, e a versão final também não mudou significativamente. Enquanto o número 1 continua o mesmo, o restante da lista tem nova linguagem, novas categorias e um embaralhamento das que ainda são da versão 2019.
API1:2019 Autorização de nível de objeto quebrado
API1:2023RC Autorização de nível de objeto quebrado
API1:2023 – Autorização em Nível de Objeto Quebrado
API2:2019 Autenticação de usuário quebrada
API2:2023RC autenticação quebrada
API2:2023 – Autenticação quebrada
API3:2019 Exposição excessiva de dados
API3:2023RC Autorização de nível de propriedade de objeto quebrado
API3:2023 – Autorização de nível de propriedade de objeto quebrado
API4:2019 Falta de recursos e limitação de taxa
API4:2023RC Consumo irrestrito de recursos
API4:2023 – Consumo irrestrito de recursos
API5:2019 Autorização de nível de função quebrada
API5:2023RC Autorização de nível de função quebrada
API5:2023 – Autorização de nível de função quebrada
API6:2019 Atribuição em massa
API6:2023RC Falsificação de solicitação do lado do servidor
API6:2023 – Acesso irrestrito a fluxos de negócios confidenciais
API7:2019 Configuração incorreta de segurança
API7:2023RC Configuração incorreta de segurança
API7:2023 – Falsificação de solicitação do lado do servidor
API8:2019 Injeção
API8:2023RC Falta de proteção contra ameaças automatizadas
API8:2023 – Configuração incorreta de segurança
API9:2019 Gerenciamento de ativos impróprios
API9:2023RC Gerenciamento Indevido de Ativos
API9:2023 – Gerenciamento de Inventário Impróprio
API10:2019 Registro e monitoramento insuficientes
API10:2023RC Consumo inseguro de APIs
API10:2023 – Consumo inseguro de APIs
Assim como na versão de 2019, o candidato a lançamento de 2023 ainda mantém firme que os ataques baseados em lógica de negócios usando implementações de autorização (BOLA) continuam sendo a maior categoria de risco para APIs hoje e no futuro previsível.
Uma API potencialmente atende a muitos usuários e fornece acesso a vários dados, frequentemente dados confidenciais. Esses diferentes usuários e tipos de usuários naturalmente possuem diferentes políticas de acesso a dados, dependendo da necessidade do negócio. De uma perspectiva de design e desenvolvimento de API, continua sendo um desafio criar uma API que aplique corretamente essas políticas granulares de autorização. Testemunhamos isso diariamente enquanto os clientes testam seus códigos usando nossa solução Active Testing.
A nova lista também consolida duas categorias existentes em API3:2023RC BOPLA (autorização em nível de propriedade de objeto quebrado). Na lista de 2019, eles foram separados em:
A vulnerabilidade BOPLA é aparente ao permitir que um usuário acesse um objeto usando um endpoint de API, sem validar se o usuário tem acesso às propriedades específicas do objeto que está tentando acessar.
Novo na lista de 2023 e um tanto emprestado do OWASP Top 10 2021 existente é API6:2023RC Server-Side Request Forgery (https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/).
Falhas de falsificação de solicitação do lado do servidor (SSRF) ocorrem sempre que uma API busca um recurso remoto sem validar a URL fornecida pelo usuário. Ele permite que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall ou VPN. O uso de conceitos modernos como Webhooks, busca de arquivos de URLs, SSO personalizado e visualizações de URL incentiva os desenvolvedores a acessar um recurso externo com base na entrada do usuário, aumentando o risco potencial. Além disso, conceitos como arquiteturas baseadas em microsserviços expõem elementos do plano de controle/gerenciamento sobre HTTP usando caminhos bem conhecidos, tornando-os um alvo mais fácil.