What is API Security?

APIs (Application Programming Interfaces) are a key part of digital transformation strategies, and securing those APIs is a top challenge. APIs are a rapidly growing attack surface that isn't widely understood and can be overlooked by developers and application security managers.

Let’s let OWASP API Security Project take this: “APIs are a critical part of modern mobile, SaaS and web applications and can be found in customer-facing, partner-facing and internal applications. By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this have increasingly become a target for attackers. Without secure APIs, rapid innovation would be impossible.”

How API Based Apps are Different?

Again, from OWASP: The server is used more as a proxy for data The rendering component is the client, not the server Clients consume raw data APIs expose the underlying implementation of the app The user’s state is usually maintained and monitored by the client More parameters are sent in each HTTP request (object IDs, filters)

How is API security different from general application security?

API Security focuses on strategies to mitigate the unique security risks of APIs. Traditional vulnerabilities are less common in API-based apps: SQLi – Increasing use of ORMs CSRF – Authorization headers instead of cookies Path Manipulations – Cloud-based storage Classic IT Security Issues - SaaS

Why is API security important?

API security is important because businesses use APIs to connect services and to transfer data, so a hacked API can lead to a data breach. According to Gartner, 90% of web-enabled applications will have more attack surface area in exposed APIs rather than in the user interface . API Usage Continues to Rise According to Forrester, from December 2020 to June 2021, the percentage of API traffic that was malicious grew 85%. . In December 2021, Cloudflare reported that API calls accounted for 54% of total requests and increased 21% from February to December 2021. Attackers have taken notice and increased their focus on APIs. API security testing is part of the core capabilities in the Gartner MQ for Application Security Testing. APIs have become an essential part of modern applications (e.g., single-page or mobile applications), but traditional AST toolsets may not fully test them, leading to the requirement for specialized tools and capabilities. The ability to discover APIs in both development and production environments and test API source code, as well as the ability to ingest recorded traffic or API definitions to support the testing of a running API, are typical functions.

What is the OWASP API Security Top 10?

OWASP recently announced the API Security Top 10 Release Candidate. Read more about the OWASP API Security Project (and check out presentation deck in the Quick Links section). Here is the top 10: API1 - Broken Object Level Authorization API2- Broken User Authentication API3 - Excessive Data Exposure API4 - Lack of Resources & Rate Limiting API5 - Broken Function Level Authorization API6 - Mass AssignmentAPI7 Security Misconfiguration API8 - Injection API9 - Improper Assets Management API10 - Insufficient Logging & Monitoring

How does Fortify helps with API Security?

API Security with Fortify: Attack Surface Coverage – Discover new and shadow API endpoints automatically during testing and identify the breadth of endpoints with OpenAPI, Swagger, Odata, or WSDL schemas. API Authentication – API authentication is varied and complex. Fortify supports virtually all types of bearer tokens and implementations. Vulnerability Detection – Ever-expanding coverage of API-specific vulnerabilities affecting areas such as bearer tokens or GraphQL introspection. Scan Automation – Scale API testing with enterprise-grade orchestration delivered via SaaS, hosted, or on premise.

Cos’è la sicurezza API?

Cosa sono le API?

Prendiamo la definizione data nel OWASP API Security Project : “Le API sono una parte fondamentale delle moderne applicazioni mobili, SaaS e Web e si trovano in molte applicazioni rivolte a clienti, partner o interne all’azienda. Per natura, le API rivelano la logica delle applicazioni e i dati sensibili come i dati personali identificabili (PII) e, per questo motivo, sono diventate il bersaglio ideale dei criminali informatici. Senza API sicure, accelerare l’innovazione sarebbe impossibile.”

In cosa si differenziano le applicazioni basate su API?

Osserviamo sempre i dati dell’OWASP:

Il server viene utilizzato perlopiù come un proxy per i dati
Il componente di rendering è il client, non il server
I client utilizzano i dati grezzi
Le API rivelano l’implementazione sottostante di un’applicazione
Lo stato dell’utente viene generalmente mantenuto e monitorato dal client
In ogni richiesta HTTP (ID oggetto, filtri) viene inviato un maggior numero di parametri

In cosa la sicurezza API differisce dalla sicurezza generale delle applicazioni?

La Sicurezza API si concentra su alcune strategie per contenere i rischi di sicurezza esclusivi delle API. Le vulnerabilità tradizionali sono meno comuni nelle applicazioni basate sulle API:

SQLi – Maggiore utilizzo della tecnica ORM (Object-Relational Mapping)
Protezione CSRF (Cross-Site Request Forgery) – Intestazioni di autorizzazione al posto dei cookie
Path Manipulations – Storage basato su cloud
Classici problemi di sicurezza IT - SaaS

Perché è importante la sicurezza delle API?

La sicurezza delle API è importante perché le aziende utilizzano le API per collegare servizi e trasferire dati: se un’API subisce l’attacco di un hacker, si rischia di incorrere in una violazione dei dati. Secondo Gartner, il 90% delle applicazioni abilitate al Web avrà un’area di superficie di attacco maggiore nelle API esposte piuttosto che nell’interfaccia utente.

L’utilizzo delle API continua ad aumentare

Secondo Forrester, da dicembre 2020 a giugno 2021, la percentuale di traffico API dannoso è cresciuta del 85%. Nel dicembre 2021, Cloudflare segnala che le chiamate API rappresentavano il 54% delle richieste totali e sono aumentate del 21% da febbraio a dicembre 2021. Consapevoli della situazione, gli autori degli attacchi hanno incentrato la loro attenzione sulle API.

I test di sicurezza API rappresentano uno dei fattori più innovativi nel Gartner MQ per l’Application Security Testing.

Le API sono diventate una parte essenziale delle applicazioni moderne (ad esempio, applicazioni in un’unica pagina o mobili), ma i set di strumenti AST tradizionali potrebbero non testarle completamente, il che comporta la necessità di strumenti e funzionalità specializzati. La capacità di rilevare le API in ambienti di sviluppo e produzione e di testare il codice sorgente API, nonché la capacità di ingerire il traffico registrato o le definizioni API per supportare il test di un’API in esecuzione, sono funzioni tipiche.

Che cos’è la top 10 della sicurezza API di OWASP?

L’OWASP ha recentemente pubblicato la top 10 delle versioni candidate per la sicurezza delle API. Scoprite di più sul progetto di sicurezza delle API di OWASP (e consultate la presentazione nella sezione Collegamenti rapidi). Ecco la top 10:

API1 - Autenticazione interrotta a livello degli oggetti
API2 - Autenticazione utente interrotta
API3 - Eccessiva esposizione dei dati
API4 - Risorse e limitazione della velocità insufficienti
API5 - Autenticazione interrotta a livello delle funzionalità
API6 - Assegnazione di massa API7 Errore di configurazione della sicurezza
API8 - Iniezione
API9 - Gestione impropria delle risorse
API10 - Monitoraggio e registrazione insufficienti

Fortify offre supporto con la sicurezza API

Sicurezza delle API con Fortify:

Copertura della superficie di attacco : durante i test, è possibile rilevare automaticamente gli endpoint API nuovi e shadow e identificare l’ampiezza degli endpoint con gli schemi OpenAPI, Swagger, Odata o WSDL.
Autenticazione delle API : l’autenticazione API è varia e complessa. Fortify supporta praticamente tutti i tipi di implementazioni e bearer token.
Rilevamento delle vulnerabilità : copertura in continua espansione delle vulnerabilità specifiche delle API che interessano aree quali bearer token o introspezione GraphQL.
Automazione delle scansioni : scalate i test delle API con un coordinamento di livello aziendale fornito tramite SaaS, in hosting o in locale.

Guardate le demo sul nostro canale YouTube Fortify Unplugged :

Your browser is not supported

OpenText Cloud

Cos’è la sicurezza API?

Panoramica

Cosa sono le API?

In cosa si differenziano le applicazioni basate su API?

In cosa la sicurezza API differisce dalla sicurezza generale delle applicazioni?

Perché è importante la sicurezza delle API?

L’utilizzo delle API continua ad aumentare

Che cos’è la top 10 della sicurezza API di OWASP?

Fortify offre supporto con la sicurezza API

Risorse

Risorse

Prodotti correlati

Fortify Application Security

Fortify on Demand (FoD)

Fortify Static Code Analyzer

Fortify WebInspect

NetIQ Secure API Manager

Fortify Software Security Center

Iniziate subito.