Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jun 04, 2023
La Top 10 della sicurezza API 2023 di OWASP perfeziona la visione dei rischi legati alle API
OWASP’s ranking for the major API security risks in 2023 has been published. The
Pubblicata la classifica OWASP dei principali rischi per la sicurezza delle API nel 2023. L’elenco include molti paralleli con l’elenco del 2019, alcune riorganizzazioni/ridefinizioni e alcuni nuovi concetti.
Di
Pubblicata la classifica OWASP dei principali rischi per la sicurezza delle API nel 2023. L’elenco include molti paralleli con l’elenco del 2019, alcune riorganizzazioni/ridefinizioni e alcuni nuovi concetti.
Ecco i 10 principali rischi per la sicurezza delle API OWASP del 2023 e un confronto con la versione 2019:
Né le minacce né i rischi cambiano drasticamente nel giro di pochi anni; ma si evolvono e la nostra comprensione di essi si evolve ugualmente. Ciò è dimostrato dalla quotazione del 2023: non tanto una nuova lista quanto un perfezionamento della lista esistente.
Le liste OWASP sono uno sforzo collaborativo. Sebbene nessuno dubiti del loro valore, non tutti – nemmeno le persone coinvolte – sono d’accordo con tutti i dettagli. Prendiamo ad esempio la rimozione dell'esposizione eccessiva dei dati dall'API3.
"Questo significa che abbiamo risolto l'esposizione dei dati sensibili?" chiede Jason Kent di Cequence Security. "No, l'esposizione dei dati sensibili è un grosso problema. Nella versione 2023 dell'API 3 vediamo un esempio di qualcuno che porta l'esposizione dei dati sensibili al passaggio successivo e supera l'autorizzazione a livello di proprietà. Non è una sostituzione diretta perché molti delle voci dell'elenco dipendono dall'esposizione di dati sensibili. È questo il modo giusto di presentarlo? Non credo, è un esempio di opinioni divergenti."
Allo stesso tempo, elogia il cambio di nome in API6 per quello che fondamentalmente è lo stesso rischio. Gli esempi elencati rimangono sostanzialmente gli stessi: entrambi riguardano un'app di ride sharing ed entrambi sfruttano qualcosa nel backend. "C'è qualcosa di sottile nella denominazione che fa sembrare quello del 2023 qualcosa che necessita di essere corretto, piuttosto che essere nebuloso e confuso. Illustra anche le nostre scoperte su come la sicurezza delle API che non funziona correttamente finisce con l'automazione degli attacchi." utilizzato contro di esso."
Il problema principale con la creazione di un elenco dei rischi dettagliato e ordinato è la catena del rischio. Le violazioni spesso partono da un'API che la vittima ha dimenticato (API9). Ciò potrebbe fornire dati utente sensibili (API1) che spingono l'aggressore a creare un bot per sfruttare la falla il più lontano e il più velocemente possibile (toccando API6).
"La nuova API Top 10 potrebbe non essere perfetta", conclude Kent, "ma ci mostra esattamente ciò che sappiamo ormai da diversi anni. Il panorama della sicurezza delle API sta cambiando e le organizzazioni devono cambiare con esso. Che sia sapere dove sono le tue API, testarle per individuare eventuali difetti o mitigare i bot che attaccano i tuoi flussi sconosciuti, la sicurezza delle API deve essere al centro dell'attenzione di tutti e questo nuovo elenco è un ottimo punto di partenza."
Imparentato: Top 10 OWASP aggiornata con tre nuove categorie
Imparentato: Rilasciata la versione finale della Top 10 OWASP 2017
Imparentato: OWASP propone nuove vulnerabilità per la Top 10 del 2017
Kevin Townsend è un collaboratore senior di SecurityWeek. Scrive di questioni legate all'alta tecnologia da prima della nascita di Microsoft. Negli ultimi 15 anni si è specializzato in sicurezza informatica; e ha pubblicato molte migliaia di articoli in dozzine di riviste diverse, dal Times e il Financial Times alle riviste di informatica attuali e scomparse da tempo.
Iscriviti al briefing via e-mail di SecurityWeek per rimanere informato sulle ultime minacce, tendenze e tecnologie, insieme a colonne approfondite di esperti del settore.
Il Threat Detection and Incident Response Summit di SecurityWeek riunisce professionisti della sicurezza di tutto il mondo per condividere storie di guerra su violazioni, attacchi APT e informazioni sulle minacce.
Il CISO Forum di Securityweek affronterà le questioni e le sfide che sono prioritarie per i leader della sicurezza di oggi e come si presenta il futuro come principali difensori dell'azienda.
Mantenere la rotta e attenersi agli obiettivi strategici consente ai professionisti della sicurezza di migliorare costantemente e continuamente il livello di sicurezza della propria organizzazione. (Joshua Goldfarb)