好色先生TV

As APIs (Interfaces de Programa??o de Aplicativos) s?o uma parte fundamental das estratégias de transforma??o digital, e a prote??o dessas APIs é um dos principais desafios. As APIs s?o uma superfície de ataque em rápido crescimento que n?o é amplamente compreendida e pode ser ignorada pelos desenvolvedores e gerentes de seguran?a de aplicativos.

Veja o que diz o : "As APIs s?o uma parte essencial dos aplicativos modernos para dispositivos móveis, SaaS e Web e podem ser encontradas em aplicativos internos, voltados para o cliente e para parceiros. Por natureza, as APIs exp?em a lógica do aplicativo e dados confidenciais, como informa??es de identifica??o pessoal (PII), e, por isso, tornaram-se cada vez mais um alvo para os invasores. Sem APIs seguras, a inova??o rápida seria impossível."

---

Qual é a diferen?a entre os aplicativos baseados em API?

Novamente, da OWASP:

• O servidor é usado mais como um proxy para dados.
• O componente de renderiza??o é o cliente, n?o o servidor.
• Os clientes consomem dados brutos.
• As APIs exp?em a implementa??o subjacente do aplicativo.
• O estado do usuário geralmente é mantido e monitorado pelo cliente.
• Mais par?metros s?o enviados em cada solicita??o HTTP (IDs de objeto, filtros).

---

Qual é a diferen?a entre a seguran?a de API e a seguran?a geral de aplicativos?

concentra-se em estratégias para atenuar os riscos de seguran?a exclusivos das APIs. As vulnerabilidades tradicionais s?o menos comuns em aplicativos baseados em API:

• SQLi - Aumento do uso de ORMs.
• CSRF - Cabe?alhos de autoriza??o em vez de cookies.
• Manipula??es de caminho - Armazenamento baseado em nuvem.
• Problemas clássicos de seguran?a de TI - SaaS.

---

Por que a seguran?a da API é importante?

A seguran?a da API é importante porque as empresas usam APIs para conectar servi?os e transferir dados, portanto, uma API invadida pode levar a uma viola??o de dados.

---

O uso da API continua a crescer

Em dezembro de 2021, a Cloudflare informou que Os invasores perceberam e aumentaram seu foco nas APIs.

O teste de seguran?a de API faz parte dos principais recursos do

As APIs se tornaram uma parte essencial dos aplicativos modernos (por exemplo, aplicativos móveis ou de página única), mas os conjuntos de ferramentas AST tradicionais podem n?o testá-las totalmente, o que leva à necessidade de ferramentas e recursos especializados. A capacidade de descobrir APIs em ambientes de desenvolvimento e produ??o e testar o código-fonte da API, bem como a capacidade de ingerir tráfego registrado ou defini??es de API para dar suporte ao teste de uma API em execu??o, s?o fun??es típicas.

---

Quais s?o os 10 principais itens de seguran?a de API da OWASP?

A OWASP anunciou recentemente a vers?o candidata do API Security Top 10. Leia mais sobre o . Aqui est?o os 10 melhores:

• API1 - Autoriza??o em nível de objeto quebrada
• API2- Autentica??o de usuário quebrada
• API3 - Exposi??o excessiva de dados
• API4 - Falta de recursos e limita??o de taxas
• API5 - Autoriza??o de nível de fun??o quebrada
• API6 - Atribui??o em massa
• API7 - Configura??o incorreta de seguran?a
• API8 - Inje??o
• API9 - Gerenciamento inadequado de ativos
• API10 - Registro e monitoramento insuficientes

---

Fortify ajuda na seguran?a da API

• Cobertura da superfície de ataque - Descubra automaticamente endpoints de API novos e obscuros durante os testes e identifique a amplitude dos endpoints com esquemas OpenAPI, Swagger, Odata ou WSDL.
• Autentica??o de API - A autentica??o de API é variada e complexa. O site Fortify é compatível com praticamente todos os tipos de tokens e implementa??es de portadores.
• Detec??o de vulnerabilidades - Cobertura cada vez maior de vulnerabilidades específicas de API que afetam áreas como tokens de portador ou introspec??o GraphQL.
• Automa??o de varredura - Dimensione os testes de API com orquestra??o de nível empresarial fornecida via SaaS, hospedada ou no local.