What is API Security?

APIs (Application Programming Interfaces) are a key part of digital transformation strategies, and securing those APIs is a top challenge. APIs are a rapidly growing attack surface that isn't widely understood and can be overlooked by developers and application security managers.

Let’s let OWASP API Security Project take this: “APIs are a critical part of modern mobile, SaaS and web applications and can be found in customer-facing, partner-facing and internal applications. By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this have increasingly become a target for attackers. Without secure APIs, rapid innovation would be impossible.”

How API Based Apps are Different?

Again, from OWASP: The server is used more as a proxy for data The rendering component is the client, not the server Clients consume raw data APIs expose the underlying implementation of the app The user’s state is usually maintained and monitored by the client More parameters are sent in each HTTP request (object IDs, filters)

How is API security different from general application security?

API Security focuses on strategies to mitigate the unique security risks of APIs. Traditional vulnerabilities are less common in API-based apps: SQLi – Increasing use of ORMs CSRF – Authorization headers instead of cookies Path Manipulations – Cloud-based storage Classic IT Security Issues - SaaS

Why is API security important?

API security is important because businesses use APIs to connect services and to transfer data, so a hacked API can lead to a data breach. According to Gartner, 90% of web-enabled applications will have more attack surface area in exposed APIs rather than in the user interface . API Usage Continues to Rise According to Forrester, from December 2020 to June 2021, the percentage of API traffic that was malicious grew 85%. . In December 2021, Cloudflare reported that API calls accounted for 54% of total requests and increased 21% from February to December 2021. Attackers have taken notice and increased their focus on APIs. API security testing is part of the core capabilities in the Gartner MQ for Application Security Testing. APIs have become an essential part of modern applications (e.g., single-page or mobile applications), but traditional AST toolsets may not fully test them, leading to the requirement for specialized tools and capabilities. The ability to discover APIs in both development and production environments and test API source code, as well as the ability to ingest recorded traffic or API definitions to support the testing of a running API, are typical functions.

What is the OWASP API Security Top 10?

OWASP recently announced the API Security Top 10 Release Candidate. Read more about the OWASP API Security Project (and check out presentation deck in the Quick Links section). Here is the top 10: API1 - Broken Object Level Authorization API2- Broken User Authentication API3 - Excessive Data Exposure API4 - Lack of Resources & Rate Limiting API5 - Broken Function Level Authorization API6 - Mass AssignmentAPI7 Security Misconfiguration API8 - Injection API9 - Improper Assets Management API10 - Insufficient Logging & Monitoring

How does Fortify helps with API Security?

API Security with Fortify: Attack Surface Coverage – Discover new and shadow API endpoints automatically during testing and identify the breadth of endpoints with OpenAPI, Swagger, Odata, or WSDL schemas. API Authentication – API authentication is varied and complex. Fortify supports virtually all types of bearer tokens and implementations. Vulnerability Detection – Ever-expanding coverage of API-specific vulnerabilities affecting areas such as bearer tokens or GraphQL introspection. Scan Automation – Scale API testing with enterprise-grade orchestration delivered via SaaS, hosted, or on premise.

¿Qué es la seguridad de API?

¿Qué son las API?

Según la guía OWASP API Security Project : "Las API son una parte esencial de las modernas aplicaciones móviles, SaaS y web que pueden encontrarse en aplicaciones orientadas al cliente, orientadas a los socios o internas. Por su naturaleza, las API exponen la lógica de las aplicaciones y los datos sensibles, como la información de identificación personal (PII), por lo que se han convertido en objetivo de los atacantes. Sin API seguras, sería imposible innovar con rapidez".

¿Qué caracteriza a las aplicaciones basadas en API?

Estas son sus particularidades, de nuevo según OWASP:

El servidor se utiliza más bien como un proxy para los datos.
El componente de procesamiento es el cliente, no el servidor.
Los clientes consumen datos sin procesar.
Las API exponen la implementación subyacente de la aplicación.
El cliente es quien suele mantener y supervisar el estado del usuario.
Se envían más parámetros en cada petición HTTP (ID de objetos, filtros, etc.).

¿En qué se diferencia la seguridad de API de la seguridad de las aplicaciones en general?

La seguridad de API se centra en estrategias para mitigar los riesgos de seguridad únicos de las API. Las vulnerabilidades tradicionales son menos frecuentes en las aplicaciones basadas en API:

SQLi: aumento del uso de ORM
CSRF: encabezados de autorización en lugar de cookies
Manipulaciones de rutas: almacenamiento en la nube
Problemas tradicionales de seguridad de TI: SaaS

¿Por qué es importante la seguridad de API?

La importancia de la seguridad de API se debe a que las empresas utilizan las API para conectar servicios y transferir datos, por lo que una API comprometida puede dar lugar a una vulneración de la seguridad informática. Según Gartner, el 90 % de las aplicaciones con capacidad para Internet tendrá una mayor superficie de ataque en las API expuestas que en la interfaz de usuario.

El uso de API no para de crecer

Según Forrester, desde diciembre de 2020 hasta junio de 2021, el porcentaje de tráfico de API malicioso creció un 85 %. En diciembre de 2021, Cloudflare informó de que las llamadas de API representaron el 54 % de las solicitudes totales y aumentaron un 21 % desde febrero hasta diciembre de 2021. Los atacantes han tomado buena nota de ello y han intensificado su interés por las API.

Las pruebas de seguridad de API son uno de los recursos esenciales mencionados en el informe Gartner Magic Quadrant para pruebas de seguridad de aplicaciones.

Las API se han convertido en una parte esencial de las aplicaciones modernas (por ejemplo, aplicaciones para dispositivos móviles o de una sola página), pero es posible que las herramientas de AST tradicionales no las prueben por completo, por lo que se necesitan herramientas y funciones especializadas. La capacidad de descubrir API tanto en el entorno de desarrollo como en el de trabajo y probar su código fuente, así como la posibilidad de incorporar tráfico registrado o definiciones de API para respaldar las pruebas de una API en ejecución, son funciones habituales.

¿Qué es el Top 10 de seguridad de API según OWASP?

OWASP anunció recientemente la versión candidata para el lanzamiento de su documento Top 10 sobre seguridad de API. Obtenga más información acerca de la guía OWASP API Security Project (y eche un vistazo a la presentación en la sección Quick Links). Estas son las diez principales amenazas de seguridad según OWASP Top 10:

API1: Autorización de nivel de objeto interrumpida
API2: Autenticación de usuario interrumpida
API3: Exposición excesiva de datos
API4: Falta de recursos y limitación de frecuencia
API5: Autorización de nivel de función interrumpida
API6: Asignación masiva API7: Configuración incorrecta de seguridad
API8: Inyección
API9: Administración incorrecta de recursos
API10: Registro y supervisión insuficientes

Fortify le ayuda con la seguridad de API

Seguridad de API con Fortify:

Cobertura de la superficie de ataque. Descubra automáticamente puestos finales de API nuevos y en la sombra durante las pruebas e identifique la amplitud de los puestos finales con esquemas OpenAPI, Swagger, Odata o WSDL.
Autenticación de API. La autenticación de las API es variada y compleja. Fortify admite prácticamente todos los tipos de implementaciones y tokens de portador.
Detección de vulnerabilidades. La constante expansión de la cobertura de las vulnerabilidades específicas de API afecta a áreas como los tokens de portador o la introspección de GraphQL.
Automatización de la exploración. Amplíe las pruebas de API con orquestación de nivel empresarial mediante servicios alojados, locales o SaaS.

Vea estas demostraciones en nuestro canal de Youtube Fortify Unplugged

Your browser is not supported

OpenText Cloud

¿Qué es la seguridad de API?

Descripción

¿Qué son las API?

¿Qué caracteriza a las aplicaciones basadas en API?

¿En qué se diferencia la seguridad de API de la seguridad de las aplicaciones en general?

¿Por qué es importante la seguridad de API?

El uso de API no para de crecer

¿Qué es el Top 10 de seguridad de API según OWASP?

Fortify le ayuda con la seguridad de API

Recursos

Activos

Productos relacionados

Seguridad de las aplicaciones con Fortify

Fortify on Demand (FoD)

Fortify Static Code Analyzer

Fortify WebInspect

NetIQ Secure API Manager

Fortify Software Security Center

Infórmese hoy mismo.