What is API Security?

APIs (Application Programming Interfaces) are a key part of digital transformation strategies, and securing those APIs is a top challenge. APIs are a rapidly growing attack surface that isn't widely understood and can be overlooked by developers and application security managers.

Let’s let OWASP API Security Project take this: “APIs are a critical part of modern mobile, SaaS and web applications and can be found in customer-facing, partner-facing and internal applications. By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this have increasingly become a target for attackers. Without secure APIs, rapid innovation would be impossible.”

How API Based Apps are Different?

Again, from OWASP: The server is used more as a proxy for data The rendering component is the client, not the server Clients consume raw data APIs expose the underlying implementation of the app The user’s state is usually maintained and monitored by the client More parameters are sent in each HTTP request (object IDs, filters)

How is API security different from general application security?

API Security focuses on strategies to mitigate the unique security risks of APIs. Traditional vulnerabilities are less common in API-based apps: SQLi – Increasing use of ORMs CSRF – Authorization headers instead of cookies Path Manipulations – Cloud-based storage Classic IT Security Issues - SaaS

Why is API security important?

API security is important because businesses use APIs to connect services and to transfer data, so a hacked API can lead to a data breach. According to Gartner, 90% of web-enabled applications will have more attack surface area in exposed APIs rather than in the user interface . API Usage Continues to Rise According to Forrester, from December 2020 to June 2021, the percentage of API traffic that was malicious grew 85%. . In December 2021, Cloudflare reported that API calls accounted for 54% of total requests and increased 21% from February to December 2021. Attackers have taken notice and increased their focus on APIs. API security testing is part of the core capabilities in the Gartner MQ for Application Security Testing. APIs have become an essential part of modern applications (e.g., single-page or mobile applications), but traditional AST toolsets may not fully test them, leading to the requirement for specialized tools and capabilities. The ability to discover APIs in both development and production environments and test API source code, as well as the ability to ingest recorded traffic or API definitions to support the testing of a running API, are typical functions.

What is the OWASP API Security Top 10?

OWASP recently announced the API Security Top 10 Release Candidate. Read more about the OWASP API Security Project (and check out presentation deck in the Quick Links section). Here is the top 10: API1 - Broken Object Level Authorization API2- Broken User Authentication API3 - Excessive Data Exposure API4 - Lack of Resources & Rate Limiting API5 - Broken Function Level Authorization API6 - Mass AssignmentAPI7 Security Misconfiguration API8 - Injection API9 - Improper Assets Management API10 - Insufficient Logging & Monitoring

How does Fortify helps with API Security?

API Security with Fortify: Attack Surface Coverage – Discover new and shadow API endpoints automatically during testing and identify the breadth of endpoints with OpenAPI, Swagger, Odata, or WSDL schemas. API Authentication – API authentication is varied and complex. Fortify supports virtually all types of bearer tokens and implementations. Vulnerability Detection – Ever-expanding coverage of API-specific vulnerabilities affecting areas such as bearer tokens or GraphQL introspection. Scan Automation – Scale API testing with enterprise-grade orchestration delivered via SaaS, hosted, or on premise.

O que é segurança de API?

O que são APIs?

Vamos deixar o OWASP API Security Project explicar: “As APIs representam uma parte crítica de aplicativos móveis, SaaS e web modernos e podem ser encontradas em aplicativos internos, voltados para o cliente ou voltados para parceiros. Por natureza, as APIs expõem a lógica do aplicativo e dados confidenciais, como as informações de identificação pessoal (PII) e, por isso, têm se tornado cada vez mais alvo dos invasores. Sem APIs protegidas, a rapidez da inovação se tornaria impossível.”

Como os aplicativos baseados em API são diferentes?

De novo, as explicações do OWASP:

O servidor é usado mais como um proxy para os dados
O componente renderizado é o cliente, não o servidor
Clientes consomem dados brutos
As APIs expõem a implementação subjacente dos aplicativos
O estado do usuário geralmente é mantido e monitorado pelo cliente
Mais parâmetros são enviados em cada solicitação HTTP (IDs de objeto, filtros)

Como a segurança de API difere da segurança de aplicativos em geral?

A segurança de API concentra-se em estratégias para mitigar os exclusivos riscos de segurança de API. As vulnerabilidades tradicionais são menos comuns nos aplicativos baseados em APIs:

SQLi – uso crescente de ORMs
CSRF – Cabeçalhos de autorização em vez de cookies
Manipulações de caminhos – armazenamento baseado em nuvem
Problemas de segurança clássicos de TI – SaaS

Por que a segurança de API é importante?

A segurança de API é importante porque as empresas usam APIs para conectar serviços e transferir dados; portanto, uma API invadida pode provocar uma violação de dados. De acordo com a Gartner , 90% dos aplicativos habilitados para a Web terão mais área de superfície de ataque em APIs expostas do que na interface do usuário.

O uso da API continua a aumentar

De acordo com a Forrester, de dezembro de 2020 a junho de 2021, a porcentagem de tráfego de API malicioso cresceu 85%. Em dezembro de 2021, a Cloudflare relatou que as chamadas de API representaram 54% do total de solicitações e aumentaram 21% de fevereiro a dezembro de 2021. Os invasores perceberam e aumentaram seu foco nas APIs.

O teste de segurança de API é parte de uma das principais capacidades de inovação no Gartner MQ para o Application Security Testing.

As APIs se tornaram uma parte essencial dos aplicativos modernos (por exemplo, aplicativos de uma página ou móveis), mas os conjuntos de ferramentas de AST tradicionais podem não testá-las totalmente, levando à necessidade de ferramentas e recursos especializados. A capacidade de detetar APIs em ambientes de desenvolvimento e produção e testar o código-fonte da API, bem como a capacidade de incluir definições de tráfego gravado ou de API para dar suporte ao teste de uma API em execução, são funções típicas.

Quais são os Top 10 em segurança de API da OWASP?

O OWASP anunciou recentemente o lançamento dos 10 principais candidatos na área de segurança de API. Leia mais sobre o Projeto de segurança de API da OWASP (e confira o deck de apresentação na seção Links rápidos). Aqui estão os 10 principais:

API1 – Defeito na autorização no nível de objeto
API2 – Defeito na autenticação de usuário
API3 – Exposição excessiva de dados
API4 – Falta de recursos e limitação de taxa
API5 – Defeito na autorização no nível de função
API6 – Atribuição em massa API7 – Configuração incorreta de segurança
API8 – Injeção
API9 – Gerenciamento incorreto de ativos
API10 – Registros e monitoramento insuficientes

Fortify ajuda com a segurança de API

Segurança de API com o Fortify:

Cobertura da superfície de ataque – Descubra pontos de extremidade de API novos e sombreados automaticamente durante o teste e identifique a amplitude de pontos de extremidade com esquemas OpenAPI, Swagger, OData ou WSDL.
Autenticação da API – A autenticação de API é variada e complexa. O Fortify dá suporte a praticamente todos os tipos de tokens e implementações do portador.
Detecção de vulnerabilidades – Cobertura cada vez maior de vulnerabilidades específicas de API que afetam áreas como tokens portadores ou introspeção de GraphQL.
Automação de digitalização – Dimensione o teste de API com organização de nível empresarial fornecida via SaaS, hospedada ou no local.

Assista às demonstrações no nosso canal Fortify Unplugged no YouTube:

Your browser is not supported

OpenText Cloud

O que é segurança de API?

Visão geral

O que são APIs?

Como os aplicativos baseados em API são diferentes?

Como a segurança de API difere da segurança de aplicativos em geral?

Por que a segurança de API é importante?

O uso da API continua a aumentar

Quais são os Top 10 em segurança de API da OWASP?

Fortify ajuda com a segurança de API

Recursos

Bens

Produtos relacionados

Fortify Application Security

Fortify on Demand (FoD)

Fortify Static Code Analyzer

Fortify WebInspect

NetIQ Secure API Manager

Fortify Software Security Center

Comece hoje mesmo.