:quality(80)/images.vogel.de/vogelonline/bdb/1815400/1815476/original.jpg "WebRTC zielt darauf ab, eine sichere Echtzeit-Kommunikation von Endgerät zu Endgerät über den Browser zu ermöglichen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1813200/1813282/original.jpg "Die Funktion einer PWA geht unter anderem dank des Hardware-Zugriffs über die Möglichkeiten einer Webseite hinaus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1812500/1812556/original.jpg "Um in Microservices-Infrastrukturen mögliche Fehler zurückzuverfolgen, wird per Code eine verteilte Rückverfolgung ermöglicht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1829600/1829615/original.jpg "Unternehmen, die Arduino, Devicehub.net oder OpenWSN für IoT-Projekte nutzen, profitieren vom Open-Source-Ansatz der Plattformen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827100/1827136/original.jpg "Entwickler sind nach Interpretation von Snyk bereit und willens, mehr Verantwortung für Sicherheit zu übernehmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1816700/1816795/original.jpg "Qualität und Sicherheit spielen in DevOps-Prozessen eine zunehmend wichtige Rolle.")
:quality(80)/images.vogel.de/vogelonline/bdb/1820800/1820872/original.jpg "Schon im Vorfeld eines Webprojekts lohnt es sich, Performance-Faktoren zu ermitteln.")
:quality(80)/images.vogel.de/vogelonline/bdb/1825700/1825713/original.jpg "Die ioXt Alliance will mit dem neuen Mobile Application Profile für zertizifierte App-Qualität sorgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828600/1828625/original.jpg "Die Red Hat Developer Sandbox bietet eine private OpenShift-Umgebung mit vorkonfigurierten Entwicklungswerkzeugen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1820700/1820710/original.jpg "Programmierschnittstellen erlauben es wie wiederverwendbare Bausteine, IT-Projekte schnell und nachhaltig voranzutreiben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1817000/1817045/original.jpg "AsciiDoc in Visual Studio Code.")
:quality(80)/images.vogel.de/vogelonline/bdb/1812000/1812084/original.jpg "Observability erlaubt es, über äußere Metriken und Logs auf den inneren Zustand eines Systems zu schließen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1814700/1814716/original.jpg "Was genau in verteilten Anwendungen und Cloud-Umgebungen vor sich geht, lässt sich mit klassischem Montoring nicht erfassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1829100/1829170/original.jpg "Morgendämmerung für Kubernetes - die Wolken aus Bedenken schwinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828100/1828195/original.jpg "Mit einem neuen Framework sollen sich Softwareprojekte schnell und vordefiniert erstellen lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828100/1828192/original.jpg "DevOps bedeutet zwar eine Verkürzung der Release-Zyklen aber für die DevOps-Teams vor allem eine Verschiebung ihrer Aufgaben in Richtung Security.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828272/original.jpg "Internationale Studierende am Saarland Informatics Campus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1815800/1815822/original.jpg "Wer eine manuelle Software-Dokumentation wie ein Handbuch erstellen möchte, hat bessere Alternativen als reines HTML.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1631400/1631447/original.jpg "Dev-Insider AWARDS 2019")
:quality(80)/images.vogel.de/vogelonline/bdb/1625800/1625869/original.jpg "Award-Logo Dev-Insider")
Radware warnt vor Schwachstellen in API-Implementierungen Jedes dritte Unternehmen über APIs attackiert
Mit der zunehmenden Bereitstellung von APIs, sprich Programmierschnittstellen, nehmen auch Angriffe zu. Laut dem jüngsten Global Application & Network Security Report von Radware berichtet jedes dritte Unternehmen davon, dass ihre Anwendungen über APIs attackiert werden.
(Bild gemeinfrei: OpenClipart-Vectors - Pixabay.com / Pixabay )
Häufig werden über APIs personenbezogene Daten und Zahlungskartendaten ausgetauscht sowie geschäftskritische Dienste bereitgestellt. Dementsprechend wichtig ist es, Programmierschnittstellen richtig abzusichern. Doch laut Radware nutzen Angreifer bereits unterschiedliche Schwachstellen in API-Implementierungen aus.
Viele APIs überprüften beispielsweise nur den Authentifizierungsstatus – aber nicht, ob eine Anforderung von einem echten Benutzer kommt. Dieser Fehler lasse sich auf beispielsweise mittels Session Hijacking und Account Aggregation ausnutzen, um echte API-Aufrufe zu imitieren.
Mobile Anwendungen werden laut Radware immer häufiger mittels Reverse Engineering analysiert, um herauszufinden, wie sie eine API aufrufen. Insbesondere in die App integrierte API-Schlüssel erweisen sich dann als problematisch, die Benutzerauthentifizierung sollte laut Radware daher nicht nur auf API-Schlüssel vertrauen.
Ein weiteres Problem sind Radware zufolge unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server. Mittels Man-in-the-Middle-Attacke ließen sich dann sensible Informationen stehlen oder Transaktionsdaten ändern. Darüber hinaus stehe die API-Sicherheit grundsätzlich zur Disposition, wenn mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über alle Kanäle hinweg sei daher von größter Bedeutung.
Böswillig herbeigeführte Störungen sind ebenso denkbar. So lasse sich ein DDoS-Angriff durch wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver oder verzögerte POST-Anfragen realisieren; und durch kompromittierte Client-Zertifikate auf Servern könnten Angreifer die Reihenfolge der APIs einfach ändern, was zu einem Datenverlust führen kann.
Als potenzielle Gegenmaßnahmen führt Radware folgende Ansätze ins Feld:
- Überwachung und Verwaltung von API-Aufrufen mithilfe einer Bot-Management-Lösung
- Einsatz von Multifaktor Authentifizierung
- Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
- Zuverlässige Verschlüsselung
- Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Zuverlässige Endgeräte-Sicherheit
(ID:45950749)
:quality(80)/images.vogel.de/vogelonline/bdb/1824500/1824503/original.jpg "Mit Blick auf die Anwendungssicherheit wollen viele Unternehmen in API-Schutz und Web Application Firewalls investieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788200/1788231/original.jpg "Für die Datensicherheit sind aus dem Boden gestampfte Remote-Konzepte und API-basierte Architekturen eine Herausforderung.")