Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

API

APIs (Application Programming Interfaces) sind ein zweischneidiges Schwert für moderne Anwendungen wie mobile Apps, IoT-Anwendungen und Dienste von Drittanbietern, die in bestehende Anwendungen eingebettet sind. Sie vereinfachen die Architektur und die Bereitstellung, bringen aber eine Vielzahl von Risiken und Schwachstellen mit sich.

Leider erhalten API-Schwachstellen immer noch nicht die erforderliche Aufmerksamkeit. Alle Risiken, die Webanwendungen betreffen, betreffen auch Web Services, und dennoch funktionieren herkömmliche Tools zur Bewertung der Anwendungssicherheit wie Dynamic Application Security Testing (DAST) und Static Application Security Testing (SAST) entweder nicht gut mit APIs oder sind einfach irrelevant für sie.

APIs werden das Herzstück vieler KI-Fähigkeiten sein. Ihr Schutz könnte das größte Problem der Zukunft des Internets sein. Nachfolgend 14 Tipps von Radware für Sicherheitsmaßnahmen, mit denen APIs besser geschützt werden können:

  1. TLS ist erforderlich, um bei der Kommunikation zwischen dem Client und den APIs die Vertraulichkeit und Integrität der Daten während des Transports zu gewährleisten.
     
  2. TCP-Terminierung für die Erkennung von Netzwerk-Angriffen, bei denen IP-Fragmentierung angewendet wird.
     
  3. HTTP-Protokoll-Parsing und Durchsetzung des HTTP-RFC schützt vor verschiedenen HTTP-Angriffen wie NULL-Byte-Injection, verschlüsselte Angriffe, HRS-Angriffe, Content-Type-Mismatch, etc.
     
  4. Verkehrsnormalisierung zur Erkennung von Umgehungsangriffen. Verschlüsselte Angriffe können viele Sicherheitslösungen leicht umgehen.
     
  5. Message Size Policy Enforcement für HTTP-Nachrichten, Body, Header und JSON/XML-Elementgrößen schützt die Anwendung vor Pufferüberlauf-Angriffen, Ressourcenerschöpfung und anderen Verfügbarkeitsangriffen auf die API-Infrastruktur.
     
  6. Verwaltung von Zugriffskontrollrichtlinien mit:
    - IP-basierten und geografischen Standortbeschränkungen, falls relevant
    - Zugriffsbeschränkung auf bestimmte APIs, bei denen z.B. einige APIs für den öffentlichen Zugriff freigegeben werden sollen, während andere nur für den internen Gebrauch bestimmt sind.
    - Zugriffsbeschränkungen auf bestimmte HTTP-Methoden, bei denen die für bestimmte Benutzer erlaubten Operationen für andere Benutzer oder Quellen verboten sind. (Ein Benutzer kann z.B. eine Lizenz generieren, aber die einmal generierte Lizenz nicht löschen.)
     
  7. Starke Typisierung und ein positives Sicherheitsmodell schützen die API-Infrastruktur. Die meisten Angriffe werden unmöglich, wenn z.B. der einzige erlaubte Werttyp im JSON-Element eine ganze Zahl mit dem Wertebereich von 1 - 100 ist.
     
  8. XML/JSON Gültigkeitsprüfung und Schemavalidierung bilden einen äußerst wichtigen Schutz. Typen, Wertebereiche, Größen und Reihenfolge der XML-Elemente müssen konfigurierbar sein.
     
  9. Datenraten-basierter Schutz pro Anwendung oder pro API ist ein wichtiger Schutz vor Servicemissbrauch, Brute-Force-Angriffen und DoS-Angriffen.
     
  10. XSS-Schutz sollte auf Regeln und Signaturen bekannter Angriffsmuster basieren.
     
  11. SQL- und No-SQL-Injection-Schutz kann durch Bereinigung und Validierung von Benutzereingaben sowie durch regelbasierte Angriffserkennung erreicht werden.
     
  12. Das Session-Management kann verwendet werden, um den API-Schlüssel zu schützen, der als Body-Argument oder im Cookie gepostet wird.
     
  13. Schutz vor Datenlecks ist unerlässlich, um sicherzustellen, dass Fehlermeldungen und sensible Informationen nicht an den potenziellen Angreifer gelangen.
     
  14. DDoS-Schutz ist der Schlüssel zur Verhinderung und Abschwächung einer Vielzahl von DDoS-Angriffstechniken, die API-Schwachstellen ausnutzen können.

Autor: Jürgen Haekel

www.radware.com


 

GRID LIST
Licencing

70 Prozent auf Software: Mit Zweitlizenzen ist immer Sale

Second Hand für Software-Lizenzen? Was vor wenigen Jahren für manch einen noch…
Legacy-System

So werden Legacy-Systeme performanter, agiler und effizienter

Es gibt viele gute Gründe, von relationalen Legacy- auf New-Technology-Datenbanken zu…
Programmieren

Zukunftsinvestition: DataOps-Plattform

Langsam, aber sicher ist DataOps kein Fremdwort mehr. Immer mehr Tools und Lösungen…
Programmieren Brille

Falsche Vorurteile über Refactoring

Refactoring ist eine wirkungsvolle Methode zur Optimierung von Anwendungen. Indem beim…
Open Source

Zehn Vorteile von Open-Source-Software im Unternehmen

Open-Source-Software hat langsam aber sicher das Unternehmensumfeld erobert, sodass…
Legacy Software

Techniken für die iterative Evolution von Softwarearchitekturen

Die Modernisierung von Altsoftware stellt viele Unternehmen vor große Probleme. Die…