Vad ?r API-s?kerhet?

Tekniska ?mnen

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

API:er (Application Programming Interfaces) ?r en viktig del av strategier f?r digital transformation, och att s?kra dessa API:er ?r en av de st?rsta utmaningarna. API:er ?r en snabbt v?xande attackyta som inte ?r allm?nt f?rst?dd och som kan f?rbises av utvecklare och applikationss?kerhetschefer.

API-s?kerhet

Ta det fr?n : "API:er ?r en kritisk del av moderna mobil-, SaaS- och webbapplikationer och finns i applikationer som v?nder sig till kunder, partners och internt. Av naturliga sk?l exponerar API:er applikationslogik och k?nsliga data s?som personligt identifierbar information (PII) och har d?rf?r i allt h?gre grad blivit ett m?l f?r angripare. Utan s?kra API:er skulle snabb innovation vara om?jlig."

Hur skiljer sig API-baserade appar fr?n andra?

?terigen, fr?n OWASP:

Servern anv?nds mer som en proxy f?r data.
Renderingskomponenten ?r klienten, inte servern.
Kunderna konsumerar r?data.
API:er exponerar den underliggande implementeringen av appen.
Anv?ndarens tillst?nd uppr?tth?lls och ?vervakas vanligtvis av klienten.
Fler parametrar skickas i varje HTTP-beg?ran (objekt-ID, filter).

Hur skiljer sig API-s?kerhet fr?n allm?n applikationss?kerhet?

fokuserar p? strategier f?r att minska de unika s?kerhetsriskerna med API:er. Traditionella s?rbarheter ?r mindre vanliga i API-baserade appar:

SQLi - ?kad anv?ndning av ORM:er.
CSRF - Auktoriseringsrubriker i st?llet f?r cookies.
Path Manipulations - Molnbaserad lagring.
Klassiska IT-s?kerhetsfr?gor - SaaS.

Varf?r ?r API-s?kerhet viktigt?

API-s?kerhet ?r viktigt eftersom f?retag anv?nder API:er f?r att ansluta tj?nster och ?verf?ra data, s? ett hackat API kan leda till ett dataintr?ng.

API-anv?ndningen forts?tter att ?ka

I december 2021 rapporterade Cloudflare att . Angripare har uppm?rksammat detta och ?kat sitt fokus p? API:er.

API-s?kerhetstestning ?r en del av k?rnfunktionerna i .

API:er har blivit en viktig del av moderna applikationer (t.ex. enkelsidiga eller mobila applikationer), men traditionella AST-verktyg kanske inte kan testa dem fullt ut, vilket leder till krav p? specialiserade verktyg och funktioner. Typiska funktioner ?r m?jligheten att uppt?cka API:er i b?de utvecklings- och produktionsmilj?er och testa API:ernas k?llkod, samt m?jligheten att ta in inspelad trafik eller API-definitioner f?r att st?dja testningen av ett API som k?rs.

Vad ?r OWASP API-s?kerhet topp 10?

OWASP tillk?nnagav nyligen API Security Top 10 Release Candidate. L?s mer om . H?r ?r topp 10:

API1 - Bruten auktorisering p? objektniv?
API2- Bruten anv?ndarautentisering
API3 - ?verdriven exponering av data
API4 - Brist p? resurser och hastighetsbegr?nsning
API5 - Bruten auktorisering p? funktionsniv?
API6 - Masstilldelning
API7 - Felaktig s?kerhetskonfiguration
API8 - Injektering
API9 - Felaktig hantering av tillg?ngar
API10 - Otillr?cklig loggning och ?vervakning

Fortify hj?lper till med API-s?kerhet

Attackytet?ckning - Uppt?ck nya och dolda API-slutpunkter automatiskt under testning och identifiera bredden av slutpunkter med OpenAPI-, Swagger-, Odata- eller WSDL-scheman.
API-autentisering - API-autentisering ?r varierande och komplex. Fortify st?der praktiskt taget alla typer av bearer tokens och implementeringar.
S?rbarhetsdetektering - st?ndigt ut?kad t?ckning av API-specifika s?rbarheter som p?verkar omr?den som bearer tokens eller GraphQL introspection.
Automatisering av skanning - Skala upp API-testning med f?retagsklassad orkestrering som levereras via SaaS, v?rdbaserad eller lokalt.

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

F?retagss?kningF?retagss?kning

Aviator S?k

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Inneh?ll Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underr?ttelser om hot

Uppt?ckt och hantering av hotUppt?ckt och hantering av hot

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varum?rkesupplevelserWebb- och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Tryckkraft好色先生TV Tryckkraft

Developer Cloud teknisk dokumentation

Aviator Tryckkraft

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

F?retagss?kning

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Uppt?ckt och hantering av hot

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Tryckkraft

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell intelligens

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator