La Top 10 aggiornata della sicurezza API OWASP per il 2023 è qui
Home » Security Blogger Network » La Top 10 aggiornata della sicurezza API OWASP per il 2023 è qui
L'Open Web Application Security Project (OWASP) è un'organizzazione globale senza scopo di lucro dedicata al miglioramento della sicurezza del software. La fondazione OWASP ha pubblicato per la prima volta un elenco dei 10 principali rischi per la sicurezza affrontati dalle API nel 2019. Dopo un paio di mesi di sano dibattito sulla release candidate, ora abbiamo l'elenco aggiornato e finalizzato per il 2023. (https://owasp.org/ API-Security/edizioni/2023/it/0x11-t10/)
Sebbene 4 anni siano un periodo estremamente lungo quando si parla di elaborazione, resta il fatto che la maggior parte delle organizzazioni è ancora in procinto di mettere in atto migliori controlli di sicurezza API per proteggersi dalla Top 10 del 2019. Inoltre, ricorda che l'elenco contiene dieci categorie di vulnerabilità, ciascuna categoria ospita molteplici vulnerabilità.
Confrontando gli elenchi, non c'è da stupirsi che quello RC del 2023 rimanga abbastanza vicino a quello del 2019, e anche la versione finale non è cambiata in modo significativo. Mentre il numero 1 rimane lo stesso, il resto dell'elenco ha una nuova lingua, nuove categorie e un rimescolamento di quelle che appartengono ancora alla versione 2019.
API1:2019 Autorizzazione a livello di oggetto non funzionante
API1:2023RC Autorizzazione a livello di oggetto non funzionante
API1:2023 – Autorizzazione a livello di oggetto non funzionante
API2:2019 Autenticazione utente interrotta
API2:2023RC Autenticazione interrotta
API2:2023 – Autenticazione interrotta
API3:2019 Esposizione eccessiva dei dati
API3:2023RC Autorizzazione del livello di proprietà dell'oggetto non funzionante
API3:2023 – Autorizzazione del livello di proprietà dell'oggetto danneggiato
API4:2019 Mancanza di risorse e limitazione della velocità
API4:2023RC Consumo illimitato di risorse
API4:2023 – Consumo illimitato di risorse
API5:2019 Autorizzazione del livello di funzione interrotta
API5:2023RC Autorizzazione del livello di funzione interrotta
API5:2023 – Autorizzazione del livello di funzione interrotta
API6:Assegnazione di massa 2019
API6:2023RC Falsificazione richiesta lato server
API6:2023 – Accesso illimitato ai flussi aziendali sensibili
API7:2019 Errata configurazione della sicurezza
API7:2023RC Configurazione errata della sicurezza
API7:2023 – Falsificazione delle richieste lato server
API8:2019 Iniezione
API8:2023RC Mancanza di protezione dalle minacce automatizzate
API8:2023 – Configurazione errata della sicurezza
API9:2019 Gestione impropria delle risorse
API9:2023RC Gestione impropria delle risorse
API9:2023 – Gestione impropria dell'inventario
API10:2019 Registrazione e monitoraggio insufficienti
API10:2023RC Consumo non sicuro delle API
API10:2023 – Consumo non sicuro delle API
Come per la versione 2019, la release candidate 2023 resta ferma sul fatto che gli attacchi basati sulla logica di business che utilizzano in modo improprio le implementazioni di autorizzazione (BOLA) rimangono la categoria di rischio più grande per le API oggi e nel prossimo futuro.
Un'API potenzialmente serve molti utenti e fornisce l'accesso a più dati, spesso dati sensibili. Questi diversi utenti e tipologie di utenti hanno naturalmente diverse policy di accesso ai dati, a seconda delle esigenze aziendali. Dal punto di vista della progettazione e dello sviluppo dell'API, rimane impegnativo creare un'API che applichi correttamente queste policy di autorizzazione granulari. Ne siamo testimoni ogni giorno mentre i clienti testano il loro codice utilizzando la nostra soluzione Active Testing.
Il nuovo elenco consolida inoltre due categorie esistenti in API3:2023RC BOPLA (Broken Object Property Level Authorization). Nell'elenco del 2019 erano suddivisi in:
La vulnerabilità BOPLA è evidente quando si consente a un utente di accedere a un oggetto utilizzando un endpoint API, senza verificare che l'utente abbia accesso alle proprietà specifiche dell'oggetto a cui sta tentando di accedere.
Una novità nell'elenco del 2023 e in qualche modo presa in prestito dalla OWASP Top 10 2021 esistente è API6:2023RC Server-Side Request Forgery (https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/).
I difetti SSRF (Server-Side Request Forgery) si verificano ogni volta che un'API recupera una risorsa remota senza convalidare l'URL fornito dall'utente. Consente a un utente malintenzionato di costringere l'applicazione a inviare una richiesta predisposta a una destinazione inaspettata, anche se protetta da un firewall o una VPN. L'utilizzo di concetti moderni come webhook, recupero di file da URL, SSO personalizzato e anteprime degli URL, incoraggia gli sviluppatori ad accedere a una risorsa esterna in base all'input dell'utente, aumentando il potenziale rischio. Inoltre, concetti come le architetture basate su microservizi espongono elementi del piano di controllo/gestione su HTTP utilizzando percorsi ben noti, rendendoli un bersaglio più facile.