Web uygulama güvenliğine adanmış kar amacı gütmeyen bir kuruluş olan Açık Web Uygulaması Güvenliği Projesi (OWASP), yakın zamanda 2023 OWASP API Güvenliği İlk 10 listesi. Liste, kuruluşları rahatsız eden en yaygın API güvenlik riskleri ve bunlara karşı nasıl savunulacağı konusunda farkındalık yaratmayı amaçlıyor.
2023 listesi, 2019’da yayınlanan orijinal listenin bir güncellemesini sağlar. O zamandan bu yana, API güvenlik tehditleri hızlandı ve gelişti, bu da yeni listeye yansıdı. Salt olarak, ilk listenin oluşturulmasına yardımcı olmaktan gurur duyduk ve ayrıca güncellenen listeye önemli katkılarda bulunanlardan biri olduk.
Bu güvenlik açığı alanlarını anlamak, şirketlerin artan API risklerinin bir adım önünde olmaları açısından önemlidir. Yeni listedeki temel tehditler ve güvenlik açıkları ve bunların orijinal listeden nasıl değiştikleri aşağıda verilmiştir:
API1:2023 – Bozuk Nesne Düzeyinde Yetkilendirme (BOLA)
Bozuk nesne düzeyinde yetkilendirme, yetkisiz kullanıcıların hassas verilere erişmesine ve bunları değiştirmesine izin veren API uç noktalarında uygun erişim kontrollerinin olmamasından kaynaklanır. BOLA, tüm API saldırılarının yaklaşık %40’ında temsil edilir ve en yaygın API güvenlik tehdididir. Bozuk nesne düzeyinde yetkilendirme API güvenlik açıkları, 2019’dan beri OWASP listesinde bir numaradır ve 2023 sürümünde de zirvedeki yerini korumuştur.
API2:2023 – Bozuk Kimlik Doğrulaması
Bozuk kimlik doğrulama, saldırganların uygulamalara yetkisiz erişim elde etmek için çalınan kimlik doğrulama belirteçlerini, kimlik bilgileri doldurmayı ve kaba kuvvet saldırılarını kullanmasına olanak tanır. Booking.com’da uygun olmayan sosyal oturum açma işlevi (artık düzeltildi), potansiyel ATO saldırılarına yol açabilecek bozuk kimlik doğrulamanın iyi bir örneğini sağlar. Bu API kimlik doğrulama güvenlik açığı, 2019’dan beri OWASP listesindeki ikinci sıradaki yerini koruyor.
API3: 2023 – Bozuk Nesne Özellik Düzeyinde Yetkilendirme
Bozuk Nesne Mülkiyet Düzeyinde Yetkilendirme, Aşırı Veri Açığa Çıkarma (daha önce 2019 OWASP API Güvenlik İlk 10’de 3. sırada yer alıyordu) veya Toplu Atama (önceden 2019 listesinde altıncı sıradaydı) yoluyla hassas bilgilere yetkisiz erişim sağlayarak gerçekleşen saldırıları birleştirir. . Her iki teknik de hassas verilere erişim elde etmek için API uç nokta manipülasyonuna dayanmaktadır.
API4:2023 Sınırsız Kaynak Tüketimi
Bu güvenlik açığı, kaynak tüketimine yönelik sınırları uygunsuz şekilde uygulayan veya uygulamayı ihmal eden API’lerden kaynaklanır ve bu da onları kaba kuvvet saldırılarına karşı oldukça savunmasız bırakır. Sınırsız Kaynak Tüketimi, OWASP API Güvenlik İlk 10, Kaynak Eksikliği ve Hız Sınırlama’daki önceki 4 numaranın yerini almıştır. Ancak isim değişse de bu güvenlik açığı genel olarak aynı kalıyor.
API5: Bozuk İşlev Düzeyinde Yetkilendirme
Bu tehdit, yetkilendirme düzgün bir şekilde uygulanmadığında şekillenir ve yetkisiz kullanıcıların müşteri kaydı veya kullanıcı rolü ekleme, güncelleme veya silme gibi API işlevlerini yürütmesine yol açar. BFLA, 2019’dan beri listedeki beşinci sırasını korudu.
API6: Hassas İş Akışlarına Sınırsız Erişim
OWASP API Güvenliği İlk 10’de Toplu Atama’nın yerini 6 numaraya alan bu yeni tehdit, bir API’nin bir iş akışını, işlevselliğin otomasyon yoluyla aşırı kullanılması durumunda nasıl zarar verebileceğini telafi etmeden ortaya çıkarması durumunda ortaya çıkar. Saldırganın bu güvenlik açığından yararlanabilmesi için söz konusu API’nin arkasındaki iş mantığını anlaması, hassas iş akışlarını bulması ve işletmeye zarar vermek için bunlara erişimi otomatikleştirmesi gerekir.
API7: Sunucu Tarafı İstek Sahtekarlığı (SSRF)
Sunucu Tarafı İstek Sahtekarlığı, kullanıcı tarafından kontrol edilen bir URL bir API üzerinden geçirildiğinde ve arka uç sunucusu tarafından kabul edildiğinde ve işlendiğinde ortaya çıkabilir. API güvenlik riskleri, arka uç sunucusu kullanıcı tarafından sağlanan URL’ye bağlanmaya çalışırsa gerçekleşir ve bu da SSRF için kapıyı açar. Bu tehdit, OWASP API Security Top 10 listesinde Toplu Atama’nın yerini 6 numaraya almıştır.
API8: Güvenlik Yanlış Yapılandırmaları
Yanlış güvenlik yapılandırması, genellikle bir bütün olarak API güvenliğini olumsuz etkileyen ve istemeden API güvenlik açıkları ortaya çıkaran çok çeşitli yanlış güvenlik yapılandırmaları için bir sorundur. Bu tehdit, 2019 yılında yayınlanan OWASP API Security Top 10 listesinde 7. sırada yer almış ve 2023 yılında da aynı konumunu korumuştur.
API9: Uygun Olmayan Envanter Yönetimi
Bu tehdit, API saldırı yüzeyinde bilinmeyen boşluklar yaratabilen ve hizmet dışı bırakılması gereken API’lerin eski sürümlerinin belirlenmesini zorlaştırabilen eski veya eksik bir envanterin sonucudur. Uygun Olmayan Envanter Yönetimi, OWASP API Güvenliği İlk 10’da Uygunsuz Varlık Yönetimi’nin yerini 9 numaraya almıştır ve doğru ve güncel bir API envanterinin önemini vurgulamak için isim değiştirilmiş olsa da tehdit aynı kalmıştır. Optus ihlali bu güvenlik açığının mükemmel bir örneğidir. Avustralya’nın en büyük ikinci telekom şirketi olan Optus, “unutulmuş” bir API’nin halka ifşa edilmesi nedeniyle düzinelerce PII içeren 11,2 milyondan fazla müşteri kaydını ifşa etti.
API10: Güvenli Olmayan API Tüketimi
API’lerin Güvenli Olmayan Tüketimi güvenlik açığı, API istemcileri tarafından API kimlik doğrulama güvenlik kontrollerini atlamak veya API yanıtlarını manipüle etmek gibi yetkisiz erişime ve verilerin açığa çıkmasına neden olabilecek şekilde API’lerin uygunsuz kullanımından kaynaklanır. Bu API güvenlik açığı, API verilerinin kendisinin tüketilmesi veya üçüncü taraf entegrasyon sorunlarının kötüye kullanılması yoluyla kullanılabilir. API’lerin Güvenli Olmayan Tüketimi, OWASP API Güvenliği İlk 10’de Yetersiz Günlük Kaydı ve İzleme’nin yerini 10 numaraya almıştır. Bu kategori için en alakalı örnek kötü şöhretli olacaktır. Log4Shell saldırısı.
API’ler, günümüzün modern uygulamalarını ve güç iş inovasyonunu birbirine bağlayan yapıştırıcıdır. Ancak saldırganlar için de birincil hedef haline geldiler. API’lerinizi tehdit eden ana sorunları anlamak, sağlam ve olgun bir API güvenlik stratejisini uygulamaya koymak için daha donanımlı olacağınız anlamına gelir.