Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Le Top 10 de la sécurité de l'API OWASP mis à jour pour 2023 est ici
Accueil » Réseau des blogueurs de sécurité » Le Top 10 de la sécurité de l'API OWASP mis à jour pour 2023 est arrivé
L'Open Web Application Security Project (OWASP) est une organisation mondiale à but non lucratif dédiée à l'amélioration de la sécurité des logiciels. La fondation OWASP a publié pour la première fois une liste des 10 principaux risques de sécurité auxquels sont confrontées les API en 2019. Après quelques mois de débat sain sur la version candidate, nous avons maintenant la liste mise à jour finalisée pour 2023. (https://owasp.org/ API-Security/editions/2023/fr/0x11-t10/)
Bien que 4 ans soit une période extrêmement longue en matière d'informatique, il n'en reste pas moins que la plupart des organisations sont encore en train de mettre en place de meilleurs contrôles de sécurité des API pour se protéger contre le Top 10 2019. De plus, rappelez-vous que la liste contient dix catégories. de vulnérabilités, chaque catégorie abritant plusieurs vulnérabilités.
En comparant les listes, il n'est pas étonnant que celle de 2023 RC reste assez proche de celle de 2019, et la version finale n'a pas changé de manière significative non plus. Alors que le numéro 1 reste le même, le reste de la liste a un nouveau langage, de nouvelles catégories et un brassage de ceux qui sont toujours de la version 2019.
API1 : 2019 Autorisation au niveau de l'objet interrompu
API1 : 2023RC Autorisation de niveau objet interrompue
API1:2023 - Autorisation de niveau objet cassée
API2 : 2019 Authentification utilisateur interrompue
API2 : 2023RC Authentification interrompue
API2:2023 – Authentification interrompue
API3 : 2019 Exposition excessive des données
API3:2023RC Autorisation de niveau de propriété d'objet cassé
API3: 2023 - Autorisation de niveau de propriété d'objet cassé
API4 : 2019 Manque de ressources et limitation du débit
API4:2023RC Consommation de ressources sans restriction
API4:2023 - Consommation de ressources illimitée
API5 : 2019 Autorisation de niveau de fonction interrompue
API5 : 2023RC Autorisation de niveau de fonction interrompue
API5: 2023 - Autorisation de niveau de fonction interrompue
API6 : 2019 Affectation en masse
API6 : 2023RC Contrefaçon de requête côté serveur
API6:2023 - Accès illimité aux flux commerciaux sensibles
API7 : 2019 Mauvaise configuration de la sécurité
API7 : 2023RC Erreur de configuration de la sécurité
API7:2023 – Contrefaçon de demande côté serveur
API8:2019 Injection
API8:2023RC Absence de protection contre les menaces automatisées
API8:2023 – Mauvaise configuration de la sécurité
API9:2019 Mauvaise gestion des actifs
API9:2023RC Mauvaise gestion des actifs
API9:2023 – Mauvaise gestion des stocks
API10 :2019 Journalisation et surveillance insuffisantes
API10:2023RC Consommation non sécurisée d'API
API10:2023 - Consommation non sécurisée d'API
Comme pour la version 2019, la version candidate 2023 maintient fermement que les attaques basées sur la logique métier utilisant à mauvais escient les implémentations d'autorisation (BOLA) restent la plus grande catégorie de risque pour les API aujourd'hui et dans un avenir prévisible.
Une API sert potentiellement de nombreux utilisateurs et donne accès à plusieurs éléments de données, souvent des données sensibles. Ces différents utilisateurs et types d'utilisateurs ont naturellement des politiques d'accès aux données différentes, en fonction des besoins de l'entreprise. Du point de vue de la conception et du développement d'API, il reste difficile de créer une API qui applique correctement ces politiques d'autorisation granulaires. Nous en sommes témoins quotidiennement lorsque les clients testent leur code à l'aide de notre solution Active Testing.
La nouvelle liste consolide également deux catégories existantes sous API3:2023RC BOPLA (Broken Object Property Level Authorization). Dans la liste 2019, ils ont été séparés en:
La vulnérabilité BOPLA est apparente lorsque vous autorisez un utilisateur à accéder à un objet à l'aide d'un point de terminaison d'API, sans valider que l'utilisateur a accès aux propriétés d'objet spécifiques auxquelles il tente d'accéder.
API6:2023RC Server-Side Request Forgery (https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/) est nouveau sur la liste 2023 et quelque peu emprunté au Top 10 OWASP 2021 existant.
Les failles SSRF (Server-Side Request Forgery) se produisent chaque fois qu'une API récupère une ressource distante sans valider l'URL fournie par l'utilisateur. Il permet à un attaquant de contraindre l'application à envoyer une requête spécialement conçue vers une destination inattendue, même lorsqu'elle est protégée par un pare-feu ou un VPN. L'utilisation de concepts modernes tels que les Webhooks, la récupération de fichiers à partir d'URL, l'authentification unique personnalisée et les aperçus d'URL encouragent les développeurs à accéder à une ressource externe en fonction de l'entrée de l'utilisateur, ce qui accroît le risque potentiel. De plus, des concepts tels que les architectures basées sur les microservices exposent les éléments du plan de contrôle/gestion sur HTTP en utilisant des chemins bien connus, ce qui en fait une cible plus facile.
API4:2023RC Unrestricted Resource Consumption emprunte largement à API4:2019 Lack of Resources & Rate Limiting, en mettant l'accent sur la protection des ressources de calcul et de stockage disponibles pour répondre avec succès aux demandes d'API légitimes. En gérant les limites de l'API autour des délais d'attente, des processus, de la mémoire disponible, du nombre d'opérations, etc., nous pouvons empêcher une répartition inéquitable des ressources.
API8:2023RC Manque de protection contre les menaces automatisées, ces types d'attaques ont augmenté à mesure que les entreprises commerciales se tournent de plus en plus vers des systèmes basés sur des API à des fins de commerce électronique. Les solutions traditionnelles basées sur la passerelle API et le WAF, telles que la limitation du débit, sont insuffisantes, car les opérateurs de botnet utilisent des approches plus distribuées pour lancer leurs attaques. Pour ces types d'attaques, il reste primordial d'identifier le trafic malveillant et de mettre en œuvre des actions de blocage automatisées pour protéger l'API et permettre au trafic commercial normal de continuer à circuler.
La « nouvelle » catégorie est API6:2023 Unrestricted Access to Sensitive Business Flows, ce qui correspond à un manque de compréhension du flux commercial exposé par votre API nouvellement créée. Certains flux commerciaux sont plus sensibles que d'autres, en ce sens qu'un accès excessif à ceux-ci peut nuire à l'entreprise. Par exemple ;
Une application de covoiturage fournit un programme de parrainage - les utilisateurs peuvent inviter leurs amis et obtenir un crédit pour chaque ami qui a rejoint l'application. Ce crédit peut ensuite être utilisé comme espèces pour réserver des trajets.
Un attaquant exploite ce flux en écrivant un script pour automatiser le processus d'enregistrement, chaque nouvel utilisateur ajoutant du crédit au portefeuille de l'attaquant.
L'attaquant peut ensuite profiter de trajets gratuits ou vendre les comptes avec des crédits excessifs contre de l'argent.
Ainsi, identifier l'identité de l'utilisateur et limiter l'accès ou l'accès chronométré serait un bon moyen d'atténuer ce type d'attaque.
L'API8:2023RC précédent Manque de protection contre les menaces automatisées a été abandonné ou intégré à l'API6:2023 car il résout principalement un problème similaire.
API9: 2023 Improper Inventory Management a remplacé API9: 2023RC Improper Assets Management et correspond merveilleusement bien aux capacités de la plate-forme Noname.
Restez à l'écoute pour un livre blanc sur la façon dont la plate-forme de sécurité des API Noname aborde le Top 10 des API OWASP 2023.
*** Il s'agit d'un blog syndiqué du réseau des blogueurs de sécurité du blog Noname API Security rédigé par Filip Verloy. Lisez le message d'origine sur : https://nonamesecurity.com/blog/updated-owasp-api-security-top-10