Was ist die OWASP API Security Top 10?

Die OWASP API Security Top 10 ist eine Rangliste der kritischsten Sicherheitsrisiken speziell für APIs, gepflegt vom Open Web Application Security Project. Erstmals 2019 veröffentlicht und 2023 aktualisiert, bietet sie ein standardisiertes Framework zum Verstehen, Testen und Beheben von API-Schwachstellen. Die Liste wird von Sicherheitsteams, Entwicklern und Prüfern weltweit genutzt, um API-Sicherheitsmaßnahmen zu priorisieren, und wird in Compliance-Frameworks und Penetrationstest-Methodiken referenziert.

Was hat sich zwischen der 2019er und 2023er OWASP API Top 10 geändert?

Das Update 2023 hat mehrere Kategorien neu organisiert. Excessive Data Exposure und Mass Assignment wurden zu Broken Object Property Level Authorization (API3) zusammengeführt. Lack of Resources and Rate Limiting wurde zu Unrestricted Resource Consumption (API4). Zwei neue Kategorien wurden hinzugefügt: Unrestricted Access to Sensitive Business Flows (API6) und Server-Side Request Forgery (API7). Injection wurde als eigenständige Kategorie entfernt, da sie nun unter Security Misconfiguration und allgemeine Eingabevalidierungsrichtlinien abgedeckt wird.

Was ist die häufigste API-Schwachstelle?

Broken Object Level Authorization (BOLA), auch bekannt als Insecure Direct Object Reference (IDOR), ist die häufigste API-Schwachstelle. Sie belegt die Nummer eins sowohl in der 2019er als auch in der 2023er Ausgabe der OWASP API Top 10. BOLA tritt auf, wenn eine API einem Benutzer erlaubt, auf Ressourcen anderer Benutzer zuzugreifen, indem Identifikatoren wie Benutzer-IDs, Bestellnummern oder Dateireferenzen in API-Anfragen manipuliert werden. Sie ist besonders verbreitet, weil Entwickler oft Authentifizierung implementieren, aber Autorisierungsprüfungen auf Objektebene vergessen.

OWASP API Security Top 10 erklärt

Warum es wichtig ist

Die OWASP API Security Top 10 ist das am häufigsten referenzierte Framework zur Klassifizierung von API-Schwachstellen. Sicherheitsteams nutzen sie, um API-Penetrationstest-Engagements zu strukturieren. Entwickler nutzen sie, um ihre API-Entwürfe gegen bekannte Risikomuster zu validieren. Compliance-Frameworks referenzieren sie zunehmend als Maßstab für die API-Sicherheitslage.

Anders als die traditionelle OWASP Top 10 für Webanwendungen konzentriert sich die API-spezifische Liste auf die einzigartigen Risiken, die entstehen, wenn Geschäftslogik über programmatische Schnittstellen exponiert wird. APIs sind besonderen Bedrohungen ausgesetzt, da sie ohne die Einschränkungen einer Benutzeroberfläche arbeiten, strukturierte Daten von jedem Client akzeptieren und oft mehr Funktionalität als beabsichtigt offenlegen.

Die 2023er OWASP API Security Top 10

API1: Broken Object Level Authorization

Die häufigste API-Schwachstelle. Sie tritt auf, wenn eine API nicht verifiziert, dass der anfragende Benutzer die Berechtigung hat, auf ein bestimmtes Objekt (Ressource) zuzugreifen. Ein Angreifer ändert einen Identifikator in der Anfrage, wie eine Benutzer-ID oder Bestellnummer, und die API gibt Daten eines anderen Benutzers zurück.

API2: Broken Authentication

Schwachstellen in Authentifizierungsmechanismen, die es Angreifern ermöglichen, Token, Schlüssel oder Passwörter zu kompromittieren oder Implementierungsfehler auszunutzen, um die Identität anderer Benutzer anzunehmen. Umfasst Probleme wie schwache Token-Generierung, fehlende Token-Ablaufzeiten, unsichere Passwort-Reset-Abläufe und Credential Stuffing ohne Rate Limiting.

API3: Broken Object Property Level Authorization

Kombiniert zwei verwandte Probleme: übermäßige Datenexposition (API gibt mehr Felder zurück, als das Frontend benötigt) und Mass Assignment (API akzeptiert Felder, die der Benutzer nicht ändern können sollte). Beide resultieren daraus, dass nicht validiert wird, welche Eigenschaften ein Benutzer lesen oder schreiben darf.

API4: Unrestricted Resource Consumption

APIs, die die Ressourcen, die eine einzelne Anfrage oder ein Benutzer verbrauchen kann, nicht ordnungsgemäß begrenzen. Umfasst fehlendes oder falsch konfiguriertes Rate Limiting, Paginierung ohne Grenzen, Akzeptanz großer Payloads und ressourcenintensive Operationen ohne Throttling.

API5: Broken Function Level Authorization

Benutzer greifen auf API-Funktionen zu, die anderen Rollen vorbehalten sind. Zum Beispiel ein regulärer Benutzer, der Admin-Endpunkte aufruft. Unterscheidet sich von BOLA darin, dass es darum geht, welche Aktionen ein Benutzer ausführen kann, und nicht, auf welche Objekte er zugreifen kann.

API6: Unrestricted Access to Sensitive Business Flows

Neu in 2023. APIs, die sensible Geschäftsabläufe (Kauf, Buchung, Kommentierung) ohne Kontrollen zur Verhinderung automatisierten Missbrauchs exponieren. Umfasst Szenarien wie Ticket-Scalping-Bots, automatisierte Kontoerstellung und massenhafte Gutscheineinlösung.

API7: Server-Side Request Forgery (SSRF)

Neu in 2023. APIs, die Remote-Ressourcen basierend auf vom Benutzer bereitgestellten URLs abrufen, ohne das Ziel zu validieren oder einzuschränken. Ermöglicht Angreifern, den Server zu zwingen, Anfragen an interne Dienste, Cloud-Metadaten-Endpunkte oder andere unbeabsichtigte Ziele zu senden.

API8: Security Misconfiguration

Fehlende Sicherheitshärtung, zu permissive CORS-Richtlinien, ausführliche Fehlermeldungen, unnötig aktivierte HTTP-Methoden, fehlendes TLS und exponierte Debug-Endpunkte. Umfasst die Infrastruktur- und Konfigurationsebene rund um APIs.

API9: Improper Inventory Management

Organisationen verlieren den Überblick darüber, welche API-Versionen bereitgestellt werden, welche Endpunkte exponiert sind und welche Dokumentation zugänglich ist. Alte API-Versionen ohne Patches, Schatten-APIs und exponierte Swagger/OpenAPI-Dokumentation fallen unter diese Kategorie.

API10: Unsafe Consumption of Third-Party APIs

APIs, die Daten von Drittanbieter-Diensten ohne ordnungsgemäße Validierung vertrauen. Wenn eine Anwendung externe APIs integriert und deren Antworten ohne Bereinigung oder Verifizierung verarbeitet, übernimmt sie die Sicherheitslage dieser externen Dienste.

Wie Sie die OWASP API Top 10 nutzen

Für Anfänger sollten Sie sich zunächst auf API1 bis API5 konzentrieren. Diese fünf Kategorien decken die Mehrheit der realen API-Sicherheitsbefunde ab und vermitteln die grundlegende Testmentalität: Authentifizierung verifizieren, Autorisierung verifizieren, Datenexposition prüfen und Ressourcenlimits testen.

Nutzen Sie die Liste als Checkliste bei API-Sicherheitsbewertungen. Fragen Sie für jeden Endpunkt: Wird der Zugriff auf Objektebene kontrolliert? Wird die Authentifizierung ordnungsgemäß durchgesetzt? Enthält die Antwort übermäßige Daten? Können Anfrage-Felder manipuliert werden? Sind Funktionen nach Rolle eingeschränkt?

Im Bootcamp

Wie wir OWASP API Security Top 10 unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur OWASP API Security Top 10 in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 1: Grundlagen der Cybersicherheit

Verwandte Themen, die Sie beherrschen werden:CIA-TriadeBedrohungsvektorenNIST-FrameworkISO 27001

Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

OWASP API Security Top 10