:quality(80)/images.vogel.de/vogelonline/bdb/1866300/1866353/original.jpg "Die McCabe-Metrik bemisst anhand der Knotenpunkte und Kanten im Kontrollflussgraphen die Komplexität eines Software-Moduls.")
:quality(80)/images.vogel.de/vogelonline/bdb/1862900/1862950/original.jpg "Software Reengineering beeinflusst große Teile einer Anwendung bis hin zum gesamten System, da vieles komplett neu aufgelegt wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1861300/1861359/original.jpg "Beim Code Refactoring wird der Quellcode bereinigt, ergänzt und mitunter auch weiter kommentiert, um ihn qualitativ aufzuwerten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883986/original.jpg "Häuft ein Entwickler allein alles Wissen über eine Anwendung an, stehen seine Nachfolger mitunter vor einem großen Fragezeichen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1883300/1883368/original.jpg "In der 13. Ausgabe des World Quality Reports attestiert Capgemini der Qualitätssicherung eine durchweg positive Entwicklung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1884600/1884614/original.jpg "Alles, was Sie zu API Sicherheit wissen müssen – ein Interview von Oliver Schonschek, Insider Research, mit Tom Zaubermann von Checkmarx.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885924/original.jpg "Im Cloud-nativen Kontext wird das Netzwerk durch eine Reihe von Mikroverbindungen innerhalb von Anwendungen definiert-")
:quality(80)/images.vogel.de/vogelonline/bdb/1871000/1871074/original.jpg "Tekton bietet im Continuous-Integration- und -Delivery-Kontext flexible Einsatzgebiete und einfache Möglichkeiten der Bereitstellung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885300/1885397/original.jpg "Linda Früh treibt als Chief Digital Officer die digitale und IT-Transformation der Advanzia Bank voran.")
:quality(80)/images.vogel.de/vogelonline/bdb/1889200/1889283/original.jpg "Schematische Darstellung der Zusammenarbeit von Airlock Gateway und einem Microgateway.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885957/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885953/original.jpg "Das Ausspionieren lauert immer und überall und ist dennoch nur eine der Gefahren im Cyberspace. Wer nur die Einfallstore im Netzwerk schützt, lässt viel größere Angriffsflächen ungesichert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885934/original.jpg "Logische Programmiersprachen wie Logica lösen die Probleme von SQL, indem sie die Syntax der mathematischen Aussagenlogik und nicht die natürliche englische Sprache verwenden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1885900/1885927/original.jpg "Bamboolib von 8080 Labs ist eine Python-basierte Lösung zur Datenanalyse.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
Radware warnt vor Schwachstellen in API-Implementierungen Jedes dritte Unternehmen über APIs attackiert
Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden.
Firma zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg")
(Bild gemeinfrei: OpenClipart-Vectors - Pixabay.com / Pixabay )
Häufig werden über APIs personenbezogene Daten und Zahlungskartendaten ausgetauscht sowie geschäftskritische Dienste bereitgestellt. Dementsprechend wichtig ist es, Programmierschnittstellen richtig abzusichern. Doch laut Radware nutzen Angreifer bereits unterschiedliche Schwachstellen in API-Implementierungen aus.
Viele APIs überprüften beispielsweise nur den Authentifizierungsstatus – aber nicht, ob eine Anforderung von einem echten Benutzer kommt. Dieser Fehler lasse sich auf beispielsweise mittels Session Hijacking und Account Aggregation ausnutzen, um echte API-Aufrufe zu imitieren.
Mobile Anwendungen werden laut Radware immer häufiger mittels Reverse Engineering analysiert, um herauszufinden, wie sie eine API aufrufen. Insbesondere in die App integrierte API-Schlüssel erweisen sich dann als problematisch, die Benutzerauthentifizierung sollte laut Radware daher nicht nur auf API-Schlüssel vertrauen.
Ein weiteres Problem sind Radware zufolge unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server. Mittels Man-in-the-Middle-Attacke ließen sich dann sensible Informationen stehlen oder Transaktionsdaten ändern. Darüber hinaus stehe die API-Sicherheit grundsätzlich zur Disposition, wenn mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über alle Kanäle hinweg sei daher von größter Bedeutung.
Böswillig herbeigeführte Störungen sind ebenso denkbar. So lasse sich ein DDoS-Angriff durch wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver oder verzögerte POST-Anfragen realisieren; und durch kompromittierte Client-Zertifikate auf Servern könnten Angreifer die Reihenfolge der APIs einfach ändern, was zu einem Datenverlust führen kann.
Als potenzielle Gegenmaßnahmen führt Radware folgende Ansätze ins Feld:
- Überwachung und Verwaltung von API-Aufrufen mithilfe einer Bot-Management-Lösung
- Einsatz von Multifaktor Authentifizierung
- Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
- Zuverlässige Verschlüsselung
- Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Zuverlässige Endgeräte-Sicherheit
(ID:45950749)
:quality(80)/images.vogel.de/vogelonline/bdb/1824500/1824503/original.jpg "Mit Blick auf die Anwendungssicherheit wollen viele Unternehmen in API-Schutz und Web Application Firewalls investieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788200/1788231/original.jpg "Für die Datensicherheit sind aus dem Boden gestampfte Remote-Konzepte und API-basierte Architekturen eine Herausforderung.")