OWASP API Security Top 10 – Wie man Web-Schnittstellen mit kostenfreien Werkzeugen selbst auf Schwachstellen testet

Short description

Sicherheit wird beim Entwickeln von Web-Schnittstellen oft noch vernachlässigt. Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Mit den API Security Top 10 veröffentlicht sie eine Liste der kritischsten und am weitesten verbreiteten Schwachstellen in APIs. Sie stecken unter der Haube moderner Single-Page-Webanwendungen und mobiler Apps und machen einen großen Teil des Internetverkehrs aus.

 

Der Vortrag stellt die Top-10-API-Sicherheitslücken kurz vor und zeigt anhand von Beispielen, wie man sie mit kostenfreien Werkzeugen automatisiert findet: mit statischer Prüfung im Quelltext sowie dynamischen Tests an laufenden Schnittstellen. Außerdem wird diskutiert, wo die Grenzen einer Tool-basierten Erkennung liegen.

Value for the audience:
Die Teilnehmer erfahren die kritischsten Schwachstellen in APIs, aber vor allem, wie kostenfreie Open-Source-Tools ihnen beim Erkennen und Beheben helfen. Zudem verweist der Vortrag auf viele weiterführende Quellen, da einzelne Lücken und Tools nur angeschnitten werden können.

Problems addressed:
Sicherheit wird beim Entwickeln von Web-Schnittstellen vernachlässigt, wie zahlreiche darauf bezogene Sicherheitsvorfälle mit Datenverlusten zeigen. Die OWASP hat dafür ein Awareness-Dokument geschrieben, die API Security Top 10.

Nach einem Shift Left ist es hilfreich, diese Schwachstellen so früh wie möglich zu finden beziehungsweise zu verhindern. Bereits im Quelltext können mit statischen Tools Fehler aufgedeckt werden und mit dynamischen Tools in laufenden Anwendungen.

Dafür gibt es sowohl allgemeine Tools wie statische Codescanner und Interception Proxys – als auch auf spezifische Probleme spezialisierte Tools, wie etwa Dependency Checker oder Prüfer für JWT (eine bei APIs verbreitete Art von zustandslosen Token)

Talk language: German
Level: Advanced
Target group: Softwaretester, Entwickler, Architekten

Company:
Oneconsult Deutschland AG

Presented by:
Frank Ully

Frank Ully