OWASP, известная организация, посвященная обучению надлежащих методов безопасности к миру, проявил новую инициативу, названную Проектом безопасности API OWASP.

Главные люди позади этого нового проекта - Дэвид Шоу, директор по ИТ-безопасности в AppFolio, и Леиф Дрейзлер, Главный Инженер по технике безопасности в Bugcrowd.

Эти два обрисовали в общих чертах свой проект на конференции по безопасности NolaCon, которая прошла в Новом Орлеане за прошлую неделю.

У недостатков безопасности API могут быть разрушительные последствия

Проект безопасности API OWASP будет работать точно так же, как вся остальная часть проектов OWASP и предоставлять руководство о том, как правильно осуществить современные технологии, в этом случае, Интерфейсы Приложения.

API - не что иное как автономные заявления или компоненты программного обеспечения, которые отвечают на запросы данных с информацией о товаре или услуге, на основе ряда правил и параметров, связанных поступающим запросом.

Часто, неправильно закодированные API могут позволить нападавшим наращивать свой доступ и восстанавливать больше информации о применении или его пользователях.

В зависимости от того, где API расположен в веб-сервисе или во встроенном микропрограммном обеспечении устройства аппаратных средств, убытки эксплуатации API могут измениться от тривиального автоматизированного сбора урожая данных до отдаленных недостатков выполнения кода, которые позволяют нападавшим принимать все устройства или PC.

Временные Лучшие 10 списков Угроз безопасности API были сделаны доступными

OWASP планирует обратиться к этим ситуациям ненадежности API, которые недавно начали чрезвычайно быть распространенными.

Организация, которая известна ее Лучшими 10 сетями (и Мобильна) списки Угроз безопасности, также оценят и создадут Лучшие 10 страниц Угроз безопасности API также.

Во время их видеопрезентации (после мелкого 20:50), эти два исследователя выпустили временную версию Лучших 10 Угроз безопасности API проекта.

В настоящее время их список включает вопросы безопасности API, такие как Неподходящая Санитизация Данных, Недостаточное Управление доступом, Опасная Ссылка Прямого дополнения, Недостаточная безопасность Транспортного уровня, Воздействие Конфиденциальных данных, Слабая безопасность Стороны Сервера, Неподходящая Обработка Ключа, Непоследовательная Функциональность API и Неверная конфигурация безопасности. Список только включает девять пунктов. Десятое будет добавлено, когда окончательная версия списка будет выпущена в предстоящих месяцах.

Проблемы с безопасностью серверов API печально известны. В прошлом месяце исследование от Distil Networks показало, что большинство компаний даже не использует самые основные параметры настройки безопасности API, такие как ограничение уровня.

Ниже видео YouTube Дэвида Шоу и Леифа Дрейзлера, представляющего новый Проект безопасности API OWASP в NolaCon 2016.

Введение в проект безопасности API OWASP Видео игры