?Qué es la seguridad de las API?

Temas técnicos

?Qué es la seguridad de las API?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Las API (interfaces de programación de aplicaciones) son una parte fundamental de las estrategias de transformación digital, y protegerlas es uno de los principales retos. Las API son una superficie de ataque en rápido crecimiento que no se conoce bien y que los desarrolladores y los responsables de seguridad de las aplicaciones pueden pasar por alto.

Seguridad de la API

Tómelo del : "Las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y pueden encontrarse en aplicaciones orientadas al cliente, a los socios e internas. Por naturaleza, las API exponen la lógica de la aplicación y datos sensibles como la información de identificación personal (PII) y, por ello, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible".

?En qué se diferencian las aplicaciones basadas en API?

De nuevo, de OWASP:

El servidor se utiliza más como proxy de datos.
El componente de renderizado es el cliente, no el servidor.
Los clientes consumen datos en bruto.
Las API exponen la implementación subyacente de la aplicación.
El estado del usuario suele ser mantenido y supervisado por el cliente.
En cada petición HTTP se envían más parámetros (identificadores de objetos, filtros).

?En qué se diferencia la seguridad de las API de la seguridad general de las aplicaciones?

se centra en estrategias para mitigar los riesgos de seguridad específicos de las API. Las vulnerabilidades tradicionales son menos comunes en las aplicaciones basadas en API:

SQLi - Uso creciente de ORM.
CSRF - Cabeceras de autorización en lugar de cookies.
Manipulaciones de rutas - Almacenamiento en la nube.
Problemas clásicos de seguridad informática - SaaS.

?Por qué es importante la seguridad de las API?

La seguridad de las API es importante porque las empresas las utilizan para conectar servicios y transferir datos, por lo que una API pirateada puede provocar una filtración de datos.

El uso de API sigue aumentando

En diciembre , Cloudflare informó de que Los atacantes se han dado cuenta y se han centrado más en las API.

Las pruebas de seguridad de las API forman parte de las capacidades básicas del

Las API se han convertido en una parte esencial de las aplicaciones modernas (por ejemplo, aplicaciones de una sola página o móviles), pero los conjuntos de herramientas AST tradicionales pueden no probarlas completamente, lo que lleva a la necesidad de herramientas y capacidades especializadas. La capacidad de descubrir API tanto en entornos de desarrollo como de producción y de probar el código fuente de las API, así como la capacidad de ingerir tráfico registrado o definiciones de API para apoyar las pruebas de una API en ejecución, son funciones típicas.

?Cuál es el top 10 de OWASP en seguridad de APIs?

OWASP ha anunciado recientemente la versión candidata de la API Security Top 10. Más información sobre el . Aquí está el top 10:

API1 - Autorización a nivel de objeto rota
API2- 础耻迟别苍迟颈肠补肠颈ó苍 de usuario rota
API3 - Exposición excesiva de datos
API4 - Falta de recursos y limitación de tarifas
API5 - Autorización a nivel de función rota
API6 - Asignación de masa
API7 - Error de configuración de seguridad
API8 - Inyección
API9 - Gestión inadecuada de activos
API10 - Registro y supervisión insuficientes

Fortify ayuda a la seguridad de la API

Cobertura de la superficie de ataque: descubra automáticamente puntos finales de API nuevos y ocultos durante las pruebas e identifique la amplitud de los puntos finales con esquemas OpenAPI, Swagger, Odata o WSDL.
础耻迟别苍迟颈肠补肠颈ó苍 de API: la autenticación de API es variada y compleja. Fortify admite prácticamente todos los tipos de tokens portadores e implementaciones.
Detección de vulnerabilidades - Cobertura cada vez mayor de vulnerabilidades específicas de las API que afectan a áreas como los tokens portadores o la introspección GraphQL.
础耻迟辞尘补迟颈锄补肠颈ó苍 de la exploración: amplíe las pruebas de API con una orquestación de nivel empresarial suministrada a través de SaaS, alojada o in situ.

Seguridad de la API

Empiece hoy mismo

Recursos

Guía para desarrolladores del documento de posición 2023 OWASP Top 10 for API Security

DestacadosDestacados

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Inteligencia de negocio e informesInteligencia de negocio e informes

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Buscar en

Business Network CloudBusiness Network Cloud

Integración de la cadena de suministroIntegración de la cadena de suministro

Servicios de integración B2BServicios de integración B2B

Colaboración en el ecosistemaColaboración en el ecosistema

Red de empresas Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Integraciones empresarialesIntegraciones empresariales

Captura y procesamiento inteligente de documentosCaptura y procesamiento inteligente de documentos

Information ArchivingInformation Archiving

础耻迟辞尘补迟颈锄补肠颈ó苍 de procesos础耻迟辞尘补迟颈锄补肠颈ó苍 de procesos

Gobernanza de la informaciónGobernanza de la información

Contenido Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Identity and Access ManagementIdentity and Access Management

Protección de datosProtección de datos

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Inteligencia sobre amenazas

Detección de amenazas y respuestaDetección de amenazas y respuesta

Ciberseguridad Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Functional TestingFunctional Testing

Ingeniería de rendimientoIngeniería de rendimiento

DevOps Aviator

Experience CloudExperience Cloud

Web y experiencias de marcaWeb y experiencias de marca

惭别苍蝉补箩别谤í补惭别苍蝉补箩别谤í补

Recorrido del cliente y datosRecorrido del cliente y datos

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Experiencia Aviator

IT Operations CloudIT Operations Cloud

Gestión de serviciosGestión de servicios

FinOpsFinOps

AIOps y observabilidadAIOps y observabilidad

础耻迟辞尘补迟颈锄补肠颈ó苍础耻迟辞尘补迟颈锄补肠颈ó苍

Gestión de redesGestión de redes

Operaciones informáticas Aviator

好色先生TV Thrust好色先生TV Thrust

Developer Cloud documentación técnica

Aviator Thrust

PortfolioPortfolio

Protección de datos y copia de seguridad de terminalesProtección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvilGestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipoTrabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datosArchivado, eDiscovery y seguridad de los datos

La información reimaginada

Inteligencia artificialInteligencia artificial

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en 好色先生TVEncuentre un socio en 好色先生TV

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

Blogs

EventosEventos

Comunidades

Historias de clientesHistorias de clientes

好色先生TV Navigator好色先生TV Navigator

Destacados

Analytics Cloud

Analytics Database

Inteligencia de negocio e informes

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Business Network Cloud

Integración de la cadena de suministro

Servicios de integración B2B

Colaboración en el ecosistema

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Integraciones empresariales

Captura y procesamiento inteligente de documentos

Information Archiving

础耻迟辞尘补迟颈锄补肠颈ó苍 de procesos

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Identity and Access Management

Protección de datos

Investigaciones y análisis forenses digitales

Detección de amenazas y respuesta

DevOps Cloud

Plataforma DevOps

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Functional Testing

Ingeniería de rendimiento

Experience Cloud

Web y experiencias de marca

惭别苍蝉补箩别谤í补

Recorrido del cliente y datos

Media Management

Contact Center Analytics

IT Operations Cloud

Gestión de servicios

FinOps

AIOps y observabilidad

础耻迟辞尘补迟颈锄补肠颈ó苍

Gestión de redes

好色先生TV Thrust

Portfolio

Protección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datos

Inteligencia artificial

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en 好色先生TV

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Eventos

Historias de clientes

好色先生TV Navigator