:quality(80)/images.vogel.de/vogelonline/bdb/1792200/1792204/original.jpg "Ein Webhook erlaubt es Servern und Web-Services, Ereignis-basiert miteinander zu kommunizieren und automatisierte Aufrufe zu tätigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1791800/1791894/original.jpg "WCAG-konforme Webseiten sind auch für Menschen mit sensorischen, kognitiven und/oder motorischen Handicaps zugänglich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1789400/1789412/original.jpg "Der Event Hook ist ein spezieller Webhook, der dem Namen gemäß über Ereignisse informiert und so automatisierte Reaktionen ermöglicht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1796400/1796462/original.jpg "51 Prozent der Firmen setzen immer, größtenteils oder manchmal auf agile Methoden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1796200/1796201/original.jpg "Parasoft C/C++test soll das Testing im Embedded-Umfeld durch die Integration von Git-basierten Workflows und Tools beschleunigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1795200/1795263/original.jpg "Die DHBW Stuttgart will künftige Embedded-Systems-Engineers auf alle Facetten ihres Berufslebens vorbereiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1800000/1800023/original.jpg "Google hat einen neuen Lehrplan zur Android-App-Entwicklung mit Kotlin für Dozentinnen und Dozenten bereitgestellt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1799300/1799359/original.jpg "Cloud Native etabliert sich zunehmend im Unternehmensumfeld.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801200/1801257/original.jpg "Streaming databases show their strengths wherever information is transmitted and required in real time.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801200/1801254/original.jpg "Streaming-Datenbanken spielen überall dort ihre Stärken aus, wo Informationen in Echtzeit übertragen und benötigt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1792800/1792899/original.jpg "In der Programmierung und Datenverarbeitung sind Schleifen unabdingbar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1802700/1802748/original.jpg "Die Microservice-orientierte Laufzeitumgebung Dapr hat mit Version 1.0 die Produktionsreife erlangt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1781400/1781402/original.jpg "Fluss eines typischen Vor-Ort-Deployments mit AWS CodeDeploy.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784600/1784699/original.jpg "Die Überwachung und Absicherung von Containern und Microservices ist ein dringendes Anliegen, dem Unternehmen in diesem Jahr nachkommen sollten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1802300/1802397/original.jpg "Mit einer Umfrage zum Thema SRE will das DevOps Insititute mehr über gängige Methoden, Metriken und Automatismen erfahren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1802000/1802074/original.jpg "Das von Puppet entwickelte DevOps-Reifegradmodell aus dem State of DevOps Report.")
:quality(80)/images.vogel.de/vogelonline/bdb/1792300/1792355/original.jpg "Ein fertig definierter Webhook bei GitHub, der ein Wiki über Änderungen am Repository informiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1791300/1791301/original.jpg "Revenera hat die Zahl der Schwachstellen und Lizenzverstöße bei der Open-Source-Code-Nutzung untersucht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783400/1783406/original.jpg "Die Linux Foundation fördert, unterstützt und finanziert quelloffene IT-Projekte innerhalb des Linux-Universums.")
:quality(80)/images.vogel.de/vogelonline/bdb/1780400/1780449/original.jpg "An FLOSS-Projekten kann man sich auf ganz unterschiedliche Weise als Contributor beteiligen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
Radware warnt vor Schwachstellen in API-Implementierungen Jedes dritte Unternehmen über APIs attackiert
Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden.
Firma zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/a5/5fa5372d8d471/build38-logo.png "Build38_Logo.png"){kind=logo}
(Bild gemeinfrei: OpenClipart-Vectors - Pixabay.com / Pixabay )
Häufig werden über APIs personenbezogene Daten und Zahlungskartendaten ausgetauscht sowie geschäftskritische Dienste bereitgestellt. Dementsprechend wichtig ist es, Programmierschnittstellen richtig abzusichern. Doch laut Radware nutzen Angreifer bereits unterschiedliche Schwachstellen in API-Implementierungen aus.
Viele APIs überprüften beispielsweise nur den Authentifizierungsstatus – aber nicht, ob eine Anforderung von einem echten Benutzer kommt. Dieser Fehler lasse sich auf beispielsweise mittels Session Hijacking und Account Aggregation ausnutzen, um echte API-Aufrufe zu imitieren.
Mobile Anwendungen werden laut Radware immer häufiger mittels Reverse Engineering analysiert, um herauszufinden, wie sie eine API aufrufen. Insbesondere in die App integrierte API-Schlüssel erweisen sich dann als problematisch, die Benutzerauthentifizierung sollte laut Radware daher nicht nur auf API-Schlüssel vertrauen.
Ein weiteres Problem sind Radware zufolge unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server. Mittels Man-in-the-Middle-Attacke ließen sich dann sensible Informationen stehlen oder Transaktionsdaten ändern. Darüber hinaus stehe die API-Sicherheit grundsätzlich zur Disposition, wenn mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über alle Kanäle hinweg sei daher von größter Bedeutung.
Böswillig herbeigeführte Störungen sind ebenso denkbar. So lasse sich ein DDoS-Angriff durch wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver oder verzögerte POST-Anfragen realisieren; und durch kompromittierte Client-Zertifikate auf Servern könnten Angreifer die Reihenfolge der APIs einfach ändern, was zu einem Datenverlust führen kann.
Als potenzielle Gegenmaßnahmen führt Radware folgende Ansätze ins Feld:
- Überwachung und Verwaltung von API-Aufrufen mithilfe einer Bot-Management-Lösung
- Einsatz von Multifaktor Authentifizierung
- Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
- Zuverlässige Verschlüsselung
- Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Zuverlässige Endgeräte-Sicherheit
(ID:45950749)
:quality(80)/images.vogel.de/vogelonline/bdb/1771400/1771485/original.jpg "Die Überwachung der Container-Infrastruktur sollte bei DevOps-Ansätzen immer mit dazu gehören.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788200/1788231/original.jpg "Für die Datensicherheit sind aus dem Boden gestampfte Remote-Konzepte und API-basierte Architekturen eine Herausforderung.")