OWASP API Security Top 10: Wie APIs angegriffen werden und wie Entwickler sicher entwickeln können

Sicherheit ist ein wichtiges Thema, das beim Entwerfen von Anwendungen und Schnittstellen noch immer vernachlässigt wird. Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Ihre bekannteste Veröffentlichung ist die "OWASP Top 10", eine Aufzählung der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Ende 2019 hat das OWASP eine Liste von Sicherheitsrisiken in Schnittstellen veröffentlicht.

Der Vortrag stellt anhand der "OWASP API Security Top 10" Angriffe auf Schnittstellen vor, ihre Ursachen und welche Maßnahmen bei der Entwicklung dagegen helfen; er gibt zum Abschluss Hinweise auf weiterführende Quellen.

Vorkenntnisse

Zuhörer sollten mit den Grundlagen der Entwicklung von Schnittstellen vertraut sein; idealerweise, aber nicht notwendig, auch mit neueren Technologien wie Cross-Origin Resource Sharing (CORS) oder JSON Web Token (JWT). Der Vortrag erfordert keine Vorkenntnisse über Schwachstellen oder sichere Entwicklung.

Lernziele

Was muss beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachtet werden? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken können durch fehlende Eingabevalidierung entstehen? Wie kann eine Schutzmaßnahme wie Rate Limiting womöglich umgangen werden? Wesentlich soll das Bewusstsein dafür geschärft werden, dass "Sicherheit" nicht mit Abarbeiten einer Top-10-Liste entsteht. Zudem soll das Interesse zur tiefergehenden Beschäftigung mit Sicherheitsaspekten geweckt werden.