Radware warnt vor Schwachstellen in API-Implementierungen

Jedes dritte Unternehmen über APIs attackiert

| Redakteur: Stephan Augsten

Laut jüngstem Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen über Attacken gegen Anwendungen via APIs.
Laut jüngstem Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen über Attacken gegen Anwendungen via APIs. (Bild gemeinfrei: OpenClipart-Vectors - Pixabay.com / Pixabay)

Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden.

Häufig werden über APIs personenbezogene Daten und Zahlungskartendaten ausgetauscht sowie geschäftskritische Dienste bereitgestellt. Dementsprechend wichtig ist es, Programmierschnittstellen richtig abzusichern. Doch laut Radware nutzen Angreifer bereits unterschiedliche Schwachstellen in API-Implementierungen aus.

Viele APIs überprüften beispielsweise nur den Authentifizierungsstatus – aber nicht, ob eine Anforderung von einem echten Benutzer kommt. Dieser Fehler lasse sich auf beispielsweise mittels Session Hijacking und Account Aggregation ausnutzen, um echte API-Aufrufe zu imitieren.

Mobile Anwendungen werden laut Radware immer häufiger mittels Reverse Engineering analysiert, um herauszufinden, wie sie eine API aufrufen. Insbesondere in die App integrierte API-Schlüssel erweisen sich dann als problematisch, die Benutzerauthentifizierung sollte laut Radware daher nicht nur auf API-Schlüssel vertrauen.

Ein weiteres Problem sind Radware zufolge unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server. Mittels Man-in-the-Middle-Attacke ließen sich dann sensible Informationen stehlen oder Transaktionsdaten ändern. Darüber hinaus stehe die API-Sicherheit grundsätzlich zur Disposition, wenn mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über alle Kanäle hinweg sei daher von größter Bedeutung.

Böswillig herbeigeführte Störungen sind ebenso denkbar. So lasse sich ein DDoS-Angriff durch wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver oder verzögerte POST-Anfragen realisieren; und durch kompromittierte Client-Zertifikate auf Servern könnten Angreifer die Reihenfolge der APIs einfach ändern, was zu einem Datenverlust führen kann.

Als potenzielle Gegenmaßnahmen führt Radware folgende Ansätze ins Feld:

  • Überwachung und Verwaltung von API-Aufrufen mithilfe einer Bot-Management-Lösung
  • Einsatz von Multifaktor Authentifizierung
  • Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
  • Zuverlässige Verschlüsselung
  • Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
  • Zuverlässige Endgeräte-Sicherheit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45950749 / APIs)