O que é OWASP?
No cenário digital interconectado de hoje, as APIs são fundamentais para as aplicações modernas, impulsionando a inovação e permitindo que as empresas atendam às crescentes expectativas dos clientes. No entanto, essa dependência de APIs também as tornou alvos atraentes para cibercriminosos. Para combater com sucesso essas ameaças, as organizações devem compreender os principais riscos de segurança de API e encontrar formas de mitigá-los.
OWASP: Um Defensor da Segurança de Aplicações Web
O Open Web Application Security Project (OWASP) é uma organização sem fins lucrativos focada em aprimorar a segurança de aplicações web. Oferece uma vasta gama de recursos gratuitos, como documentação, ferramentas, fóruns e vídeos, com o objetivo de ajudar desenvolvedores e especialistas em segurança a criar aplicações mais seguras. As principais contribuições incluem o OWASP Top 10, que destaca vulnerabilidades de aplicações web, e o OWASP API Security Top 10, que visa os riscos associados à segurança de API.
O Cenário em Evolução dos Ataques a APIs
O cenário de ameaças a APIs está em constante evolução, à medida que os atacantes aprimoram seus métodos. o relatório Estado da Segurança de API da Salt Security indicou que 95% das organizações sofreram alguma forma de incidente de segurança de API. Atores maliciosos estão cada vez mais visando a lógica de negócios central das APIs e empregando táticas de "baixo e lento" para evitar a detecção, permitindo-lhes realizar seus ataques por períodos prolongados.
OWASP API Security Top 10: Um Recurso Crítico
Em 2023, a OWASP lançou seu atualizado Top 10 de Segurança de API para abordar as ameaças em evolução. Esta lista fornece informações cruciais sobre os principais desafios de segurança no complexo ecossistema de APIs atual. Este blog examinará detalhadamente cada vulnerabilidade descrita no OWASP API Security Top 10.
API1:2023 Autorização Quebrada em Nível de Objeto (BOLA)
A autorização quebrada em nível de objeto decorre da falta de controles de acesso adequados nos endpoints de API, permitindo que usuários não autorizados acessem e modifiquem dados sensíveis. A BOLA está presente em cerca de 40% de todos os ataques a APIs e é a ameaça de segurança de API mais comum. As vulnerabilidades de API de autorização quebrada em nível de objeto têm sido o número um na lista da OWASP desde 2019 e mantiveram sua posição de destaque na versão de 2023.
API2:2023 Autenticação Quebrada
A autenticação quebrada permite que atacantes usem tokens de autenticação roubados, credential stuffing e ataques de força bruta para obter acesso não autorizado a aplicações. Esta vulnerabilidade de segurança de autenticação de API manteve sua segunda posição na lista OWASP desde 2019.
API3:2023 Autorização Quebrada em Nível de Propriedade de Objeto
A Autorização Quebrada em Nível de Propriedade de Objeto engloba ataques que ocorrem ao obter acesso não autorizado a informações sensíveis por meio de Exposição Excessiva de Dados (anteriormente listado como número 3 no Top 10 de Segurança de API da OWASP de 2019) ou Atribuição em Massa (anteriormente em sexto lugar na lista de 2019). Ambas as técnicas são baseadas na manipulação de endpoints de API para obter acesso a dados sensíveis.
API4:2023 Consumo Irrestrito de Recursos
Esta vulnerabilidade origina-se em APIs que implementam de forma inadequada ou negligenciam a implementação de limites no consumo de recursos, tornando-as altamente suscetíveis a ataques de força bruta. O Consumo Irrestrito de Recursos substituiu o anterior número 4 no Top 10 de Segurança de API da OWASP, Falta de Recursos e Limitação de Taxa. No entanto, embora o nome tenha mudado, esta vulnerabilidade permanece a mesma no geral.
API5:2023 Autorização Quebrada em Nível de Função (BFLA)
Esta ameaça se manifesta quando a autorização não é implementada corretamente, levando usuários não autorizados a serem capazes de executar funções de API, como adicionar, atualizar ou excluir um registro de cliente ou uma função de usuário. A BFLA manteve sua quinta posição na lista desde 2019.
API6:2023 Acesso Irrestrito a Fluxos de Negócio Sensíveis
Esta nova ameaça, que substituiu a Atribuição em Massa como número 6 no Top 10 de Segurança de API da OWASP, manifesta-se quando uma API expõe um fluxo de negócio sem compensar como a funcionalidade poderia causar danos se usada excessivamente através de automação. Para explorar esta vulnerabilidade, um atacante precisará entender a lógica de negócio por trás da API em questão, encontrar fluxos de negócio sensíveis e automatizar o acesso a eles para causar danos ao negócio.
API7:2023 Falsificação de Requisição do Lado do Servidor (SSRF)
A Falsificação de Requisição do Lado do Servidor pode ocorrer quando uma URL controlada pelo usuário é passada por uma API e é aceita e processada pelo servidor de back-end. Os riscos de segurança da API se materializam se o servidor de back-end tentar se conectar à URL fornecida pelo usuário, o que abre a porta para SSRF. Esta ameaça substituiu Atribuição em Massa como número 6 na lista Top 10 de Segurança de API da OWASP.
API8:2023 Má Configuração de Segurança
A má configuração de segurança é um termo abrangente para uma vasta gama de más configurações de segurança que frequentemente impactam negativamente a segurança da API como um todo e introduzem vulnerabilidades de API inadvertidamente. Esta ameaça foi o número 7 na lista Top 10 de Segurança de API da OWASP lançada em 2019 e permaneceu na mesma posição em 2023.
API9:2023 Gerenciamento Inadequado de Inventário
Esta ameaça é resultado de um inventário desatualizado ou incompleto que pode criar lacunas desconhecidas na superfície de ataque da API, dificultando a identificação de versões mais antigas de APIs que deveriam ser desativadas. O Gerenciamento Inadequado de Inventário substituiu o Gerenciamento Inadequado de Ativos como o número 9 no OWASP API Security Top 10 e, embora o nome tenha sido alterado para enfatizar a importância de um inventário de API preciso e atualizado, a ameaça permanece a mesma.
API10:2023 Consumo Inseguro de APIs
A vulnerabilidade de Consumo Inseguro de APIs decorre do uso inadequado de APIs por clientes de API, como o desvio de controles de segurança de autenticação de API ou a manipulação de respostas de API, o que pode levar a acesso não autorizado e exposição de dados. Esta vulnerabilidade de API pode ser explorada através do consumo de dados da própria API ou pelo abuso de problemas de integração de terceiros. O Consumo Inseguro de APIs substituiu Registro e Monitoramento Insuficientes como o número 10 no OWASP API Security Top 10.
Por que você precisa entender o OWASP API Security Top 10
As APIs conectam as aplicações modernas de hoje, impulsionam a inovação nos negócios e permitem que as empresas atendam às crescentes expectativas de seus clientes por digitalização e velocidade. Mas, ao se tornarem um ativo inestimável para as organizações, elas também se tornaram um alvo principal para os atacantes.
Se você quiser saber mais sobre a Salt e como podemos ajudar na sua jornada de Segurança de API através da descoberta, governança de postura e proteção contra ameaças em tempo de execução, por favor entre em contato conosco, agende uma demonstração, ou confira nosso site.
