Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Jun 04, 2023
Le Top 10 de la sécurité des API 2023 de l'OWASP affine la vision des risques liés aux API
Le classement OWASP des principaux risques de sécurité des API en 2023 a été publié. Le
Le classement OWASP des principaux risques de sécurité des API en 2023 a été publié. La liste comprend de nombreux parallèles avec la liste 2019, certaines réorganisations/redéfinitions et quelques nouveaux concepts.
Par
Le classement OWASP des principaux risques de sécurité des API en 2023 a été publié. La liste comprend de nombreux parallèles avec la liste 2019, certaines réorganisations/redéfinitions et quelques nouveaux concepts.
Voici le Top 10 des risques de sécurité des API OWASP de 2023 et une comparaison avec la version 2019 :
Ni les menaces ni les risques ne changent radicalement en quelques années ; mais ils évoluent, et notre compréhension d'eux évolue également. Cela est démontré par l'inscription de 2023 - pas tant une nouvelle liste qu'un affinement de la liste existante.
Les listes OWASP sont un effort de collaboration. Bien que personne ne doute de leur valeur, tout le monde – pas même les personnes impliquées – n'est pas d'accord avec tous les détails. Prenez la suppression de l'exposition excessive aux données de l'API3.
« Cela signifie-t-il que nous avons résolu l'exposition aux données sensibles ? » demande Jason Kent de Cequence Security. "Non, l'exposition des données sensibles est un énorme problème. Dans la version 2023 de l'API 3, nous voyons un exemple de quelqu'un qui prend l'exposition des données sensibles à l'étape suivante et franchit l'autorisation au niveau de la propriété. Ce n'est pas un remplacement direct car beaucoup des éléments de la liste dépendent de l'exposition des données sensibles. Est-ce la bonne façon de le présenter ? Je ne pense pas, c'est un exemple d'opinions divergentes.
Dans le même temps, il loue le changement de nom dans API6 pour ce qui est fondamentalement le même risque. Les exemples répertoriés restent fondamentalement les mêmes : les deux concernent une application de covoiturage et exploitent tous les deux quelque chose dans le backend. "Il y a quelque chose de subtil dans la dénomination qui fait que celui de 2023 semble être quelque chose qui doit être corrigé, plutôt que d'être nébuleux et déroutant. Cela illustre également nos conclusions sur la façon dont la sécurité des API qui ne fonctionne pas correctement se termine par l'automatisation des attaques. utilisé contre lui."
Le principal problème lié à la création d'une liste détaillée et ordonnée des risques est la chaîne des risques. Les violations partent souvent d'une API que la victime a oubliée (API9). Cela pourrait fournir des données utilisateur sensibles (API1) incitant l'attaquant à créer un bot pour exploiter la faille aussi loin et aussi vite que possible (touchant API6).
« Le nouveau Top 10 des API n'est peut-être pas parfait », conclut Kent, « mais il nous montre exactement ce que nous savons depuis plusieurs années maintenant. Le paysage de la sécurité des API évolue et les organisations doivent évoluer avec lui. savoir où se trouvent vos API, les tester à la recherche de défauts ou atténuer les bots attaquant vos flux inconnus, la sécurité des API doit être une priorité pour tout le monde - et cette nouvelle liste est un excellent point de départ. »
En rapport: Le Top 10 OWASP mis à jour avec trois nouvelles catégories
En rapport: Publication de la version finale du Top 10 OWASP 2017
En rapport: L'OWASP propose de nouvelles vulnérabilités pour le Top 10 2017
Kevin Townsend est un contributeur principal à SecurityWeek. Il a écrit sur les questions de haute technologie bien avant la naissance de Microsoft. Au cours des 15 dernières années, il s'est spécialisé dans la sécurité de l'information ; et a eu plusieurs milliers d'articles publiés dans des dizaines de magazines différents - du Times et du Financial Times aux magazines informatiques actuels et anciens.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des articles perspicaces d'experts du secteur.
Le sommet sur la détection des menaces et la réponse aux incidents de SecurityWeek rassemble des professionnels de la sécurité du monde entier pour partager des histoires de guerre sur les violations, les attaques APT et les renseignements sur les menaces.
Le forum CISO de Securityweek abordera les problèmes et les défis qui sont au cœur des préoccupations des leaders de la sécurité d'aujourd'hui et à quoi ressemblera l'avenir en tant que principaux défenseurs de l'entreprise.
Garder le cap et s'en tenir aux objectifs stratégiques permet aux professionnels de la sécurité d'améliorer régulièrement et continuellement la posture de sécurité de leur organisation. (Joshua Goldfarb)
Si nous devions faire face à un avenir d'IA sans issue, l'industrie de la cybersécurité continuera de s'appuyer fortement sur les approches traditionnelles, en particulier celles axées sur l'homme. Ce ne sera pas tout à fait comme d'habitude.(Oliver Rochford)
Lorsque les équipes ont un moyen de briser les silos d'entreprise et de voir et de comprendre ce qui se passe, elles peuvent améliorer la protection dans leur environnement de plus en plus dispersé et diversifié. (Matt Wilson)
Quel que soit le cas d'utilisation sur lequel votre organisation de sécurité se concentre, vous perdrez probablement du temps et des ressources et prendrez de mauvaises décisions si vous ne commencez pas par comprendre votre environnement de menaces. (Marc Solomon)
Les cadres et les directives standard de l'industrie amènent souvent les organisations à croire que le déploiement de plus de solutions de sécurité se traduira par une meilleure protection contre les menaces. (Torsten George)
Cycode, une startup qui fournit des solutions pour protéger le code source des logiciels, est sortie du mode furtif mardi avec un financement de démarrage de 4,6 millions de dollars.
PayPal alerte environ 35 000 personnes que leurs comptes ont été ciblés dans une campagne de credential stuffing.
GitHub a annoncé cette semaine la révocation de trois certificats utilisés pour les applications GitHub Desktop et Atom.
Drupal a publié des mises à jour qui résolvent quatre vulnérabilités dans le noyau Drupal et trois plugins.
Une vulnérabilité CSRF dans le service de gestion du contrôle des sources (SCM) Kudu pourrait être exploitée pour réaliser l'exécution de code à distance dans plusieurs services Azure.
Bien qu'il existe de nombreuses voies vers la sécurité des applications, les offres groupées qui permettent aux équipes de sécurité de sécuriser rapidement et facilement les applications et d'affecter la posture de sécurité dans...
Fortinet a publié lundi un correctif d'urgence pour couvrir une grave vulnérabilité de son produit FortiOS SSL-VPN, avertissant que des pirates ont déjà exploité le...
De nombreux développeurs et responsables de la sécurité admettent avoir été victimes d'une violation due à des informations d'identification d'API compromises.
Le classement OWASP des principaux risques de sécurité des API en 2023 a été publié. La liste comprend de nombreux parallèles avec la liste 2019, certaines réorganisations/redéfinitions et quelques nouveaux concepts. Connexe Connexe Connexe