Vad ?r API-s?kerhet?

Tekniska ?mnen

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

API:er (Application Programming Interfaces) ?r en viktig del av strategier f?r digital transformation, och att s?kra dessa API:er ?r en av de st?rsta utmaningarna. API:er ?r en snabbt v?xande attackyta som inte ?r allm?nt f?rst?dd och som kan f?rbises av utvecklare och applikationss?kerhetschefer.

API-s?kerhet

Ta det fr?n : "API:er ?r en kritisk del av moderna mobil-, SaaS- och webbapplikationer och finns i applikationer som v?nder sig till kunder, partners och internt. Av naturliga sk?l exponerar API:er applikationslogik och k?nsliga data s?som personligt identifierbar information (PII) och har d?rf?r i allt h?gre grad blivit ett m?l f?r angripare. Utan s?kra API:er skulle snabb innovation vara om?jlig."

Hur skiljer sig API-baserade appar fr?n andra?

?terigen, fr?n OWASP:

Servern anv?nds mer som en proxy f?r data.
Renderingskomponenten ?r klienten, inte servern.
Kunderna konsumerar r?data.
API:er exponerar den underliggande implementeringen av appen.
Anv?ndarens tillst?nd uppr?tth?lls och ?vervakas vanligtvis av klienten.
Fler parametrar skickas i varje HTTP-beg?ran (objekt-ID, filter).

Hur skiljer sig API-s?kerhet fr?n allm?n applikationss?kerhet?

fokuserar p? strategier f?r att minska de unika s?kerhetsriskerna med API:er. Traditionella s?rbarheter ?r mindre vanliga i API-baserade appar:

SQLi - ?kad anv?ndning av ORM:er.
CSRF - Auktoriseringsrubriker i st?llet f?r cookies.
Path Manipulations - Molnbaserad lagring.
Klassiska IT-s?kerhetsfr?gor - SaaS.

Varf?r ?r API-s?kerhet viktigt?

API-s?kerhet ?r viktigt eftersom f?retag anv?nder API:er f?r att ansluta tj?nster och ?verf?ra data, s? ett hackat API kan leda till ett dataintr?ng.

API-anv?ndningen forts?tter att ?ka

I december 2021 rapporterade Cloudflare att . Angripare har uppm?rksammat detta och ?kat sitt fokus p? API:er.

API-s?kerhetstestning ?r en del av k?rnfunktionerna i .

API:er har blivit en viktig del av moderna applikationer (t.ex. enkelsidiga eller mobila applikationer), men traditionella AST-verktyg kanske inte kan testa dem fullt ut, vilket leder till krav p? specialiserade verktyg och funktioner. Typiska funktioner ?r m?jligheten att uppt?cka API:er i b?de utvecklings- och produktionsmilj?er och testa API:ernas k?llkod, samt m?jligheten att ta in inspelad trafik eller API-definitioner f?r att st?dja testningen av ett API som k?rs.

Vad ?r OWASP API-s?kerhet topp 10?

OWASP tillk?nnagav nyligen API Security Top 10 Release Candidate. L?s mer om . H?r ?r topp 10:

API1 - Bruten auktorisering p? objektniv?
API2- Bruten anv?ndarautentisering
API3 - ?verdriven exponering av data
API4 - Brist p? resurser och hastighetsbegr?nsning
API5 - Bruten auktorisering p? funktionsniv?
API6 - Masstilldelning
API7 - Felaktig s?kerhetskonfiguration
API8 - Injektering
API9 - Felaktig hantering av tillg?ngar
API10 - Otillr?cklig loggning och ?vervakning

Fortify hj?lper till med API-s?kerhet

Attackytet?ckning - Uppt?ck nya och dolda API-slutpunkter automatiskt under testning och identifiera bredden av slutpunkter med OpenAPI-, Swagger-, Odata- eller WSDL-scheman.
API-autentisering - API-autentisering ?r varierande och komplex. Fortify st?der praktiskt taget alla typer av bearer tokens och implementeringar.
S?rbarhetsdetektering - st?ndigt ut?kad t?ckning av API-specifika s?rbarheter som p?verkar omr?den som bearer tokens eller GraphQL introspection.
Automatisering av skanning - Skala upp API-testning med f?retagsklassad orkestrering som levereras via SaaS, v?rdbaserad eller lokalt.

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery och utredningareDiscovery och utredningar

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Search

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Capture och intelligent dokumentbehandlingCapture och intelligent dokumentbehandling

Information ArchivingInformation Archiving

Process AutomationProcess Automation

InformationsstyrningInformationsstyrning

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Threat Intelligence

Threat Uppt?ckt och svarThreat Uppt?ckt och svar

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Functional TestingFunctional Testing

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Web och varum?rkesupplevelserWeb och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Thrust好色先生TV Thrust

Developer Cloud teknisk dokumentation

Aviator Thrust

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell IntelligenceArtificiell Intelligence

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Kundber?ttelserKundber?ttelser

好色先生TV Navigator好色先生TV Navigator

Utvalda

Analytics Cloud

Analytics Database

Business Intelligence och rapportering

Data Discovery

eDiscovery och utredningar

Legal Content and Knowledge Management

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Capture och intelligent dokumentbehandling

Information Archiving

Process Automation

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Threat Uppt?ckt och svar

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Functional Testing

Prestandateknik

Experience Cloud

Web och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Contact Center Analytics

IT Operations Cloud

Service Management

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Thrust

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell Intelligence

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator