:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
:quality(80)/images.vogel.de/vogelonline/bdb/1568800/1568889/original.jpg "Abstimmen beim Dev-Insider Award 2019!")
:quality(80)/images.vogel.de/vogelonline/bdb/1469200/1469251/original.jpg "Die Gewinner der sechs Dev-Insider Readers' Choice Awards 2018 im Rahmen der Abendgala der IT-Awards.")
:quality(80)/images.vogel.de/vogelonline/bdb/1744500/1744530/original.jpg "Im Rahmen des Google Summer of Code 2020 haben studentische Programmierer über 36 Millionen LoC produziert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1745800/1745833/original.jpg "Zoho Workplace soll eine zentrale, KI-gestützte und einheitliche Plattform für die geschäftliche Kommunikation und Zusammenarbeit bieten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1742700/1742710/original.jpg "Die Coding School 42 Heilbronn besetzt ab Mai 2021 die ersten 150 Studienplätze, die Bewerbungsphase hat unlängst begonnen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1744200/1744257/original.jpg "Mit der Java Library JPaseto will Okta den Einstieg in das neue Security-Token-Format vereinfachen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1741400/1741428/original.jpg "Das RAD-Framework Wisej unterstützt in Version 2.2 auch Mobilgeräte, wobei erstellte Anwendungen weiterhin serverseitig ausgeführt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1737200/1737294/original.jpg "Für einen einfachen Test kann man den App-Service-Plan B1 im Bereich „Dev/Test“ verwenden")
:quality(80)/images.vogel.de/vogelonline/bdb/1738300/1738311/original.jpg "Migration, Verwaltung und Monitoring sind die drei Schlagworte, die für eine moderne Datenhaltung maßgeblich sind.")
:quality(80)/images.vogel.de/vogelonline/bdb/1738200/1738238/original.jpg "In Zeiten der API Economy eröffnet der Datenaustausch über Programmierschnittstellen den Unternehmen neue Wachstumsoptionen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740300/1740346/original.jpg "Mit RStudio gelingt der Einstieg in R einfacher als ohne passende IDE. Eine Desktop-Version steht kostenlos zur Verfügung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740700/1740745/original.jpg "Die Idee hinter dem Service Mesh ist es, übergreifende Funktionen einer Microservice-Architektur in die Infrastrukturebene auszulagern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1733300/1733372/original.jpg "Der Software-Delivery-Prozess hat sich dank Internet, Smartphones und vielseitigeren Betriebssysteme fortlaufend verbessert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1723900/1723926/original.jpg "Cluebiz arbeitet daran, die Cloud-basierte Softwareverteilung auf Mac- und Linux-Rechner auszuweiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1743700/1743737/original.jpg "Eficode integriert im Rahmen einer Partnerschaft GitHub Enterprise in die eigene DevOps-Plattform.")
:quality(80)/images.vogel.de/vogelonline/bdb/1745300/1745390/original.jpg "Im Podcast von Insider Research verrät Frederik Bijlsma, Director Central EMEA Sales Tanzu bei VMware, wie die Modernisierung von Anwendungen funktioniert, damit diese in eine Multicloud-Hybrid-Cloud-Welt funktionieren können, Entwicklern und Admins eine konsitente Erfahrung gewährt wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1740900/1740979/original.jpg "Software Delivery Management unterstützt alle DevOps-Akteure mit umfassenden Daten, transparenten Einblicken und bewährten Verfahren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1739800/1739830/original.jpg "Software mit Langzeitunterstützung erhält in einem zugesagten Zeitraum wichtige Updates, aber selten neue Funktionen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1736500/1736568/original.jpg "Das eBook „Datenschutz-konforme Entwicklung“ befasst sich mit Privacy by Design und verweist auf Tools und Tipps für mehr Datenschutz in der Entwicklung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1733400/1733417/original.jpg "Das Ende des Produktlebenszyklus wird in der Regel rechtzeitig angekündigt, um den Umstieg auf neuere Lösungen oder Dienstleistungen zu ermöglichen.")
Radware warnt vor Schwachstellen in API-Implementierungen Jedes dritte Unternehmen über APIs attackiert
Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden.
Firma zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/16/5f16eba1f1ebe/build38-logsymbol-ms.png "Build38 LogSymbol_MS.png")
(Bild gemeinfrei: OpenClipart-Vectors - Pixabay.com / Pixabay )
Häufig werden über APIs personenbezogene Daten und Zahlungskartendaten ausgetauscht sowie geschäftskritische Dienste bereitgestellt. Dementsprechend wichtig ist es, Programmierschnittstellen richtig abzusichern. Doch laut Radware nutzen Angreifer bereits unterschiedliche Schwachstellen in API-Implementierungen aus.
Viele APIs überprüften beispielsweise nur den Authentifizierungsstatus – aber nicht, ob eine Anforderung von einem echten Benutzer kommt. Dieser Fehler lasse sich auf beispielsweise mittels Session Hijacking und Account Aggregation ausnutzen, um echte API-Aufrufe zu imitieren.
Mobile Anwendungen werden laut Radware immer häufiger mittels Reverse Engineering analysiert, um herauszufinden, wie sie eine API aufrufen. Insbesondere in die App integrierte API-Schlüssel erweisen sich dann als problematisch, die Benutzerauthentifizierung sollte laut Radware daher nicht nur auf API-Schlüssel vertrauen.
Ein weiteres Problem sind Radware zufolge unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server. Mittels Man-in-the-Middle-Attacke ließen sich dann sensible Informationen stehlen oder Transaktionsdaten ändern. Darüber hinaus stehe die API-Sicherheit grundsätzlich zur Disposition, wenn mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über alle Kanäle hinweg sei daher von größter Bedeutung.
Böswillig herbeigeführte Störungen sind ebenso denkbar. So lasse sich ein DDoS-Angriff durch wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver oder verzögerte POST-Anfragen realisieren; und durch kompromittierte Client-Zertifikate auf Servern könnten Angreifer die Reihenfolge der APIs einfach ändern, was zu einem Datenverlust führen kann.
Als potenzielle Gegenmaßnahmen führt Radware folgende Ansätze ins Feld:
- Überwachung und Verwaltung von API-Aufrufen mithilfe einer Bot-Management-Lösung
- Einsatz von Multifaktor Authentifizierung
- Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
- Zuverlässige Verschlüsselung
- Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Zuverlässige Endgeräte-Sicherheit
(ID:45950749)
:quality(80)/images.vogel.de/vogelonline/bdb/1694900/1694946/original.jpg "Im Agile- und DevOps-Kontext gilt es, Security-Methoden bereits möglichst früh im Software-Lebenszyklus zu verankern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1697100/1697158/original.jpg "Robert Winter, CEO von Elastisys")