VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

API

APIs (Application Programming Interfaces) sind ein zweischneidiges Schwert für moderne Anwendungen wie mobile Apps, IoT-Anwendungen und Dienste von Drittanbietern, die in bestehende Anwendungen eingebettet sind. Sie vereinfachen die Architektur und die Bereitstellung, bringen aber eine Vielzahl von Risiken und Schwachstellen mit sich.

Leider erhalten API-Schwachstellen immer noch nicht die erforderliche Aufmerksamkeit. Alle Risiken, die Webanwendungen betreffen, betreffen auch Web Services, und dennoch funktionieren herkömmliche Tools zur Bewertung der Anwendungssicherheit wie Dynamic Application Security Testing (DAST) und Static Application Security Testing (SAST) entweder nicht gut mit APIs oder sind einfach irrelevant für sie.

APIs werden das Herzstück vieler KI-Fähigkeiten sein. Ihr Schutz könnte das größte Problem der Zukunft des Internets sein. Nachfolgend 14 Tipps von Radware für Sicherheitsmaßnahmen, mit denen APIs besser geschützt werden können:

  1. TLS ist erforderlich, um bei der Kommunikation zwischen dem Client und den APIs die Vertraulichkeit und Integrität der Daten während des Transports zu gewährleisten.
     
  2. TCP-Terminierung für die Erkennung von Netzwerk-Angriffen, bei denen IP-Fragmentierung angewendet wird.
     
  3. HTTP-Protokoll-Parsing und Durchsetzung des HTTP-RFC schützt vor verschiedenen HTTP-Angriffen wie NULL-Byte-Injection, verschlüsselte Angriffe, HRS-Angriffe, Content-Type-Mismatch, etc.
     
  4. Verkehrsnormalisierung zur Erkennung von Umgehungsangriffen. Verschlüsselte Angriffe können viele Sicherheitslösungen leicht umgehen.
     
  5. Message Size Policy Enforcement für HTTP-Nachrichten, Body, Header und JSON/XML-Elementgrößen schützt die Anwendung vor Pufferüberlauf-Angriffen, Ressourcenerschöpfung und anderen Verfügbarkeitsangriffen auf die API-Infrastruktur.
     
  6. Verwaltung von Zugriffskontrollrichtlinien mit:
    - IP-basierten und geografischen Standortbeschränkungen, falls relevant
    - Zugriffsbeschränkung auf bestimmte APIs, bei denen z.B. einige APIs für den öffentlichen Zugriff freigegeben werden sollen, während andere nur für den internen Gebrauch bestimmt sind.
    - Zugriffsbeschränkungen auf bestimmte HTTP-Methoden, bei denen die für bestimmte Benutzer erlaubten Operationen für andere Benutzer oder Quellen verboten sind. (Ein Benutzer kann z.B. eine Lizenz generieren, aber die einmal generierte Lizenz nicht löschen.)
     
  7. Starke Typisierung und ein positives Sicherheitsmodell schützen die API-Infrastruktur. Die meisten Angriffe werden unmöglich, wenn z.B. der einzige erlaubte Werttyp im JSON-Element eine ganze Zahl mit dem Wertebereich von 1 - 100 ist.
     
  8. XML/JSON Gültigkeitsprüfung und Schemavalidierung bilden einen äußerst wichtigen Schutz. Typen, Wertebereiche, Größen und Reihenfolge der XML-Elemente müssen konfigurierbar sein.
     
  9. Datenraten-basierter Schutz pro Anwendung oder pro API ist ein wichtiger Schutz vor Servicemissbrauch, Brute-Force-Angriffen und DoS-Angriffen.
     
  10. XSS-Schutz sollte auf Regeln und Signaturen bekannter Angriffsmuster basieren.
     
  11. SQL- und No-SQL-Injection-Schutz kann durch Bereinigung und Validierung von Benutzereingaben sowie durch regelbasierte Angriffserkennung erreicht werden.
     
  12. Das Session-Management kann verwendet werden, um den API-Schlüssel zu schützen, der als Body-Argument oder im Cookie gepostet wird.
     
  13. Schutz vor Datenlecks ist unerlässlich, um sicherzustellen, dass Fehlermeldungen und sensible Informationen nicht an den potenziellen Angreifer gelangen.
     
  14. DDoS-Schutz ist der Schlüssel zur Verhinderung und Abschwächung einer Vielzahl von DDoS-Angriffstechniken, die API-Schwachstellen ausnutzen können.

Autor: Jürgen Haekel

www.radware.com


 

GRID LIST
Tb W190 H80 Crop Int A799384e8f64b5f22b4b21cf90c436ab

Business Intelligence Software - ab welcher Unternehmensgröße wichtig?

Kaum ein Unternehmen hat heute noch die Möglichkeit, sich auf lange Reaktionszeiten zu…
Tb W190 H80 Crop Int 2d1f2dc7edd2b7193895396bbfc10ab3

DevOps nutzen und Anwendungen aufrechterhalten

Die Herausforderung bei DevOps-orientierten IT-Betriebsmodellen besteht darin, dass sie…
Tb W190 H80 Crop Int E6eb987ac8d57cbea98537b512f5c035

Warum Open Source wichtig für Collaboration-Lösungen ist

Open Source – Software, deren Quellcode öffentlich ist, verändert und geteilt werden kann…
Tb W190 H80 Crop Int E6eb987ac8d57cbea98537b512f5c035

Die Open-Source-Falle beginnt bei den Lizenzbedingungen

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist groß. Allerdings ist nicht…
Georg Baumgartner

Trendstudie DevOps 2017

Haupthindernis für die Einführung von DevOps ist laut Umfrage fehlendes Knowhow im…
Tb W190 H80 Crop Int 241ba4ad44dbfe73a4993738acb306b7

ownCloud erhält Delta Sync-Technologie

Mit „Delta Sync” bietet ownCloud zukünftig eine Technologie, die die Synchronisierung von…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security