- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Tipps zur Absicherung von APIs


Zugriffsbeschränkung auf bestimmte APIs, bei denen z.B. einige APIs für den öffentlichen Zugriff freigegeben werden sollen, während andere nur für den internen Gebrauch bestimmt sind
Starke Typisierung und ein positives Sicherheitsmodell schützen die API-Infrastruktur - Die meisten Angriffe werden unmöglich, wenn z.B. der einzige erlaubte Werttyp im JSON-Element eine ganze Zahl mit dem Wertebereich von 1 - 100 ist

- Anzeigen -





APIs (Application Programming Interfaces) sind ein zweischneidiges Schwert für moderne Anwendungen wie mobile Apps, IoT-Anwendungen und Dienste von Drittanbietern, die in bestehende Anwendungen eingebettet sind. Sie vereinfachen die Architektur und die Bereitstellung, bringen aber eine Vielzahl von Risiken und Schwachstellen mit sich. Leider erhalten API-Schwachstellen immer noch nicht die erforderliche Aufmerksamkeit. Alle Risiken, die Webanwendungen betreffen, betreffen auch Web Services, und dennoch funktionieren herkömmliche Tools zur Bewertung der Anwendungssicherheit wie Dynamic Application Security Testing (DAST) und Static Application Security Testing (SAST) entweder nicht gut mit APIs oder sind einfach irrelevant für sie.

APIs werden das Herzstück vieler KI-Fähigkeiten sein. Ihr Schutz könnte das größte Problem der Zukunft des Internets sein. Nachfolgend Tipps von Radware für Sicherheitsmaßnahmen, mit denen APIs besser geschützt werden können:

>> TLS ist erforderlich, um bei der Kommunikation zwischen dem Client und den APIs die Vertraulichkeit und Integrität der Daten während des Transports zu gewährleisten.

>> TCP-Terminierung für die Erkennung von Netzwerk-Angriffen, bei denen IP-Fragmentierung angewendet wird.

>> HTTP-Protokoll-Parsing und Durchsetzung des HTTP-RFC schützt vor verschiedenen HTTP-Angriffen wie NULL-Byte-Injection, verschlüsselte Angriffe, HRS-Angriffe, Content-Type-Mismatch, etc.

>> Verkehrsnormalisierung zur Erkennung von Umgehungsangriffen. Verschlüsselte Angriffe können viele Sicherheitslösungen leicht umgehen.

>> Message Size Policy Enforcement für HTTP-Nachrichten, Body, Header und JSON/XML-Elementgrößen schützt die Anwendung vor Pufferüberlauf-Angriffen, Ressourcenerschöpfung und anderen Verfügbarkeitsangriffen auf die API-Infrastruktur.

Verwaltung von Zugriffskontrollrichtlinien mit:
>> IP-basierten und geografischen Standortbeschränkungen, falls relevant

>> Zugriffsbeschränkung auf bestimmte APIs, bei denen z.B. einige APIs für den öffentlichen Zugriff freigegeben werden sollen, während andere nur für den internen Gebrauch bestimmt sind.

>> Zugriffsbeschränkungen auf bestimmte HTTP-Methoden, bei denen die für bestimmte Benutzer erlaubten Operationen für andere Benutzer oder Quellen verboten sind. (Ein Benutzer kann z.B. eine Lizenz generieren, aber die einmal generierte Lizenz nicht löschen.)

>> Starke Typisierung und ein positives Sicherheitsmodell schützen die API-Infrastruktur. Die meisten Angriffe werden unmöglich, wenn z.B. der einzige erlaubte Werttyp im JSON-Element eine ganze Zahl mit dem Wertebereich von 1 - 100 ist.

>> XML/JSON Gültigkeitsprüfung und Schemavalidierung bilden einen äußerst wichtigen Schutz. Typen, Wertebereiche, Größen und Reihenfolge der XML-Elemente müssen konfigurierbar sein.

>> Datenraten-basierter Schutz pro Anwendung oder pro API ist ein wichtiger Schutz vor Servicemissbrauch, Brute-Force-Angriffen und DoS-Angriffen.
XSS-Schutz sollte auf Regeln und Signaturen bekannter Angriffsmuster basieren.

>> SQL- und No-SQL-Injection-Schutz kann durch Bereinigung und Validierung von Benutzereingaben sowie durch regelbasierte Angriffserkennung erreicht werden.

>> Das Session-Management kann verwendet werden, um den API-Schlüssel zu schützen, der als Body-Argument oder im Cookie gepostet wird.

>> Schutz vor Datenlecks ist unerlässlich, um sicherzustellen, dass Fehlermeldungen und sensible Informationen nicht an den potenziellen Angreifer gelangen.

>> DDoS-Schutz ist der Schlüssel zur Verhinderung und Abschwächung einer Vielzahl von DDoS-Angriffstechniken, die API-Schwachstellen ausnutzen können.
(Radware: ra)

eingetragen: 04.06.18
Newsletterlauf: 19.06.18

Radware: Kontakt & Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Verräterische Anzeichen von Cyberkriminalität

    Die Verbindung zu öffentlichen WLAN-Netzen an überfüllten Orten birgt ein ziemlich hohes Risiko, deshalb sollten Urlauber in diesem Jahr sowohl den Sonnen- als auch den Cyberschutz dabei haben. Die kostenlosen WLAN-Hotspots an Orten wie Flughäfen, Cafés, öffentlichen Verkehrsmitteln oder Hotelzimmern sind ein bequemer Weg, um mit dem Büro oder der Familie in Kontakt zu bleiben. Die offenen Netzwerke sind jedoch nicht ohne Risiko. Der sicherste Weg seine wertvollen Daten zu schützen, würde natürlich darin besteht, keine Verbindung mit öffentlichen Netzwerken herzustellen. Es gibt jedoch verschiedene Technologien, die es möglich machen, sich auch über solche Wi-Fi-Hotspots sicher und ohne Sorge zu verbinden.

  • Tipps zum sicheren Umgang mit Zugriffsrechten

    Zugriffskontrolle und Whitelisting gehören zu den ersten und stärksten Maßnahmen zur Absicherung der Firmen-IT. Viele Unternehmen geben sich dabei allerdings mit der Erstellung von Listen vertrauenswürdiger Webseiten, Anwendungen oder Benutzer zufrieden. Selten werden diese Listen an einem Ort zusammengeführt. Dafür kommen umso häufiger selbst entwickelte Provisioning-Skripte zum Einsatz, um Benutzerrechte zu verwalten - nicht gerade der Königsweg der IT-Sicherheit. Whitelisting kann heute jedoch durchaus moderner arbeiten: Als dynamische Methode hilft es, Zugriffskontrollen auf der Grundlage individueller Identitäten und kontextbezogener Attribute durchzusetzen.

  • Forschungsobjekt Phishing

    Ein Drittel der im Umlauf schwirrenden Phishing-E-Mails wird auch tatsächlich geöffnet. Wie kommt das? Sind die Angriffe zu geschickt, die Nutzer zu lax? Wie kann man die Quote senken und Mitarbeiter und Unternehmen schützen? Sophos hat sich intensiv mit Phishing auseinandergesetzt und die Ergebnisse in einem White Paper zusammengefasst. Phishing ist eine der häufigsten und aggressivsten Angriffsmethoden von Hackern. Phishing-Attacken nutzen das Verhalten des Endanwenders als schwächstes Glied in der Cyber-Abwehr eines Unternehmens aus.

  • Nutzung von Passwörtern und PINs

    Die Nutzung von Passwörtern und PINs auf einem mobilen Gerät kann zu einer Herausforderung werden, insbesondere wenn man diese möglichst sicher mit Sonderzeichen und Zahlen-Buchstaben-Kombinationen anlegt. Semantische Symbole könnten Abhilfe schaffen, kommen jedoch nicht verbreitet zum Einsatz. John E Dunn, Security Spezialist bei Sophos, beschreibt dieses Thema in einem Artikel auf Naked Security. In einer Welt mobiler Geräte erscheint es seltsam, dass ihre Nutzer an ein Passwortmodell gekettet sind, das für Computer mit voll ausgestatteter Tastatur und Monitor entwickelt wurde. Dunn hat sich die neuesten Authentifizierungsideen aus den Entwicklerlaboren angesehen. Ist das gute alte Passwort also bald Geschichte? Es ist keine Überraschung, dass die Passworteingabe auf einem mobilen Gerät knifflig sein kann, völlig unabhängig von dem generellen Problem, unzählige Passwörter und PINs zu kreieren, geschweige denn, sie sich zu merken.

  • Malware als kostenlose VPN-Software

    Die Sonne scheint, die Ferienzeit ist in vollem Gange und es zieht uns an die Seen, Flüsse, Meere oder in die Berge. Doch leider ist uns die Büroarbeit häufig auf den Fersen. Von den Flughafen-Lounges bis hin zu Strandbars sind immer mehr Menschen auch im Urlaub per Smartphone und Laptop erreichbar und halten sich über Projekte oder dringende Deadlines auf dem Laufenden. Aber die Verbindung zu öffentlichen WLAN-Netzen an überfüllten Orten birgt ein ziemlich hohes Risiko, deshalb sollten Urlauber in diesem Jahr sowohl den Sonnen- als auch den Cyberschutz dabei haben. Die kostenlosen WLAN-Hotspots an Orten wie Flughäfen, Cafés, öffentlichen Verkehrsmitteln oder Hotelzimmern sind ein bequemer Weg, um mit dem Büro oder der Familie in Kontakt zu bleiben. Die offenen Netzwerke sind jedoch nicht ohne Risiko. Der sicherste Weg seine wertvollen Daten zu schützen, würde natürlich darin besteht, keine Verbindung mit öffentlichen Netzwerken herzustellen. Es gibt jedoch verschiedene Technologien, die es möglich machen, sich auch über solche Wi-Fi-Hotspots sicher und ohne Sorge zu verbinden.