A OWASP lançou o top 10 das principais vulnerabilidades nas APIs (Application Programming Interface), para entender melhor a diferença entre as aplicações antigas e as modernas, segue um parte do PDF que foi disponibilizado pela OWASP pelos lideres do projeto:
API é um conjunto de rotinas e padrões de programação para acesso a um aplicativo de software ou plataforma baseado na Web, permitindo também a comunicação entre aplicações (ex. Google Maps que disponibiliza o seu código para diversas aplicações) , porém, como toda grande mudança, a utilização de APIs no dia a dia pode ocasionar diversos problemas de segurança e vulnerabilidades, por esse motivo o projeto foi idealizado.
No arquivo, além da lista abaixo, também possuí exemplos de possíveis ataques as vulnerabilidades:
Lista:
A1: Broken Object Level Access Control
A2: Broken Authentication
A3: Improper Data Filtering
A4: Lack of Resources & Rate Limiting
A5: Missing Function/Resource Level Access Control
A6: Mass Assignment
A7: Security Misconfiguration
A8: Injection
A9: Improper Assets Management
A10: Insufficient Logging & Monitoring
Link dos documentos:
https://www.owasp.org/images/e/ea/OWASP_APIs_Security_Project_Kick_Off.pdf
https://drive.google.com/file/d/1UpSteCYN0AFbxMyAhtUoJnFZWxX5xfqy/view
Link do projeto:
https://www.owasp.org/index.php/Main_Page
Achei bem interessante até porque praticamente todas as grandes empresas possuem diversas APIs se comunicando nos seus ambientes de Cloud, fica a dica para galera de security que se interessa pelo assunto até porque vejo um grande gap nas equipes de Clouds na área de Security/Network.
Abraços pessoal.
Nenhum comentário:
Postar um comentário