Cos'e la OWASP API Security Top 10?

La OWASP API Security Top 10 e una classifica dei rischi di sicurezza piu critici specifici per le API, mantenuta dall'Open Web Application Security Project. Pubblicata per la prima volta nel 2019 e aggiornata nel 2023, fornisce un framework standardizzato per comprendere, testare e rimediare le vulnerabilita API. La lista viene utilizzata da team di sicurezza, sviluppatori e auditor in tutto il mondo per prioritizzare gli sforzi di API security ed e referenziata nei framework di compliance e nelle metodologie di penetration testing.

Cosa e cambiato tra la OWASP API Top 10 del 2019 e quella del 2023?

L'aggiornamento del 2023 ha riorganizzato diverse categorie. Excessive Data Exposure e Mass Assignment sono state unite in Broken Object Property Level Authorization (API3). Lack of Resources and Rate Limiting e diventata Unrestricted Resource Consumption (API4). Sono state aggiunte due nuove categorie: Unrestricted Access to Sensitive Business Flows (API6) e Server-Side Request Forgery (API7). Injection e stata rimossa come categoria autonoma perche ora e coperta sotto Security Misconfiguration e le linee guida generali sulla validazione degli input.

Qual e la vulnerabilita API piu comune?

Broken Object Level Authorization (BOLA), nota anche come Insecure Direct Object Reference (IDOR), e la vulnerabilita API piu comune. Occupa la prima posizione sia nell'edizione 2019 che in quella 2023 della OWASP API Top 10. BOLA si verifica quando una API permette a un utente di accedere a risorse appartenenti ad altri utenti manipolando identificatori come ID utente, numeri di ordine o riferimenti a file nelle richieste API. E particolarmente diffusa perche gli sviluppatori spesso implementano l'autenticazione ma dimenticano i controlli di autorizzazione a livello di oggetto.

OWASP API Security Top 10: Guida Completa

Perche e Importante

La OWASP API Security Top 10 e il framework piu ampiamente referenziato per la classificazione delle vulnerabilita API. I team di sicurezza la utilizzano per strutturare gli engagement di penetration testing sulle API. Gli sviluppatori la usano per validare i propri design API rispetto a pattern di rischio noti. I framework di compliance la referenziano sempre piu come benchmark per la postura di sicurezza delle API.

A differenza della tradizionale OWASP Top 10 per le applicazioni web, la lista specifica per le API si concentra sui rischi unici che emergono quando la logica di business viene esposta attraverso interfacce programmatiche. Le API affrontano minacce distinte perche operano senza i vincoli di un'interfaccia utente, accettano dati strutturati da qualsiasi client e spesso espongono piu funzionalita del previsto.

La OWASP API Security Top 10 del 2023

API1: Broken Object Level Authorization

La vulnerabilita API piu comune. Si verifica quando una API non verifica che l'utente richiedente abbia il permesso di accedere a un oggetto (risorsa) specifico. Un attaccante modifica un identificatore nella richiesta, come un ID utente o un numero di ordine, e l'API restituisce dati appartenenti a un altro utente.

API2: Broken Authentication

Debolezze nei meccanismi di autenticazione che consentono agli attaccanti di compromettere token, chiavi o password, oppure di sfruttare difetti implementativi per assumere l'identita di altri utenti. Copre problemi come generazione debole dei token, mancata scadenza dei token, flussi insicuri di reset password e credential stuffing senza rate limiting.

API3: Broken Object Property Level Authorization

Combina due problemi correlati: esposizione eccessiva dei dati (l'API restituisce piu campi di quelli necessari al frontend) e mass assignment (l'API accetta campi che l'utente non dovrebbe poter modificare). Entrambi derivano dalla mancata validazione di quali proprieta un utente dovrebbe leggere o scrivere.

API4: Unrestricted Resource Consumption

API che non limitano adeguatamente le risorse che una singola richiesta o un singolo utente puo consumare. Copre rate limiting mancante o mal configurato, paginazione senza limiti, accettazione di payload di grandi dimensioni e operazioni costose senza throttling.

API5: Broken Function Level Authorization

Utenti che accedono a funzioni API riservate ad altri ruoli. Un utente normale che chiama endpoint di amministrazione, per esempio. Si differenzia da BOLA in quanto riguarda quali azioni un utente puo compiere piuttosto che a quali oggetti puo accedere.

API6: Unrestricted Access to Sensitive Business Flows

Novita del 2023. API che espongono flussi di business sensibili (acquisti, prenotazioni, commenti) senza controlli per prevenire l'abuso automatizzato. Copre scenari come bot per lo scalping di biglietti, creazione automatizzata di account e riscossione massiva di coupon.

API7: Server-Side Request Forgery (SSRF)

Novita del 2023. API che recuperano risorse remote basandosi su URL forniti dall'utente senza validare o limitare la destinazione. Consente agli attaccanti di forzare il server a effettuare richieste verso servizi interni, endpoint di metadati cloud o altri target non previsti.

API8: Security Misconfiguration

Mancato hardening della sicurezza, policy CORS permissive, messaggi di errore troppo dettagliati, metodi HTTP non necessari abilitati, TLS mancante e endpoint di debug esposti. Copre il livello di infrastruttura e configurazione che circonda le API.

API9: Improper Inventory Management

Organizzazioni che perdono traccia di quali versioni API sono deployate, quali endpoint sono esposti e quale documentazione e accessibile. Vecchie versioni API in esecuzione senza patch, shadow API e documentazione Swagger/OpenAPI esposta rientrano in questa categoria.

API10: Unsafe Consumption of Third-Party APIs

API che si fidano dei dati ricevuti da servizi di terze parti senza una validazione adeguata. Quando un'applicazione integra API esterne e ne elabora le risposte senza sanitizzazione o verifica, eredita la postura di sicurezza di quei servizi esterni.

Come Utilizzare la OWASP API Top 10

Per i principianti, concentratevi prima sulle categorie da API1 a API5. Queste cinque categorie coprono la maggior parte dei risultati reali di API security e insegnano la mentalita fondamentale del testing: verificare l'autenticazione, verificare l'autorizzazione, ispezionare l'esposizione dei dati e testare i limiti delle risorse.

Utilizzate la lista come checklist durante le valutazioni di sicurezza delle API. Per ogni endpoint, chiedetevi: il controllo di accesso a livello di oggetto e implementato? L'autenticazione e applicata correttamente? La risposta contiene dati in eccesso? I campi della richiesta possono essere manipolati? Le funzioni sono limitate per ruolo?

Nel Bootcamp

Come insegniamo OWASP API Security Top 10

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su OWASP API Security Top 10. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 1: Fondamenti di Cybersecurity

Argomenti correlati che padroneggerai:Triade CIAVettori di MinacceFramework NISTISO 27001

Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso

Blog

Guide alla carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione aziendale

Assumi i nostri talenti

OWASP API Security Top 10