OWASP API Security Top 10 – Wie APIs angegriffen werden und wie Entwickler sicher entwickeln können

Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation, die die Sicherheit im Web verbessern will. Ihre bekannteste Veröffentlichung ist die „OWASP Top 10“, eine Liste der zehn kritischsten Schwachstellen in Webanwendungen. Ende 2019 hat das OWASP außerdem eine Liste von Sicherheitsrisiken in Schnittstellen veröffentlicht.
Der Vortrag stellt anhand der „OWASP API Security Top 10“ Angriffe auf Schnittstellen vor. Er zeigt ihre Ursachen und erläurtert, welche Maßnahmen bei der Entwicklung dagegen helfen.

Vorkenntnisse

Zuhörer sollten mit den Grundlagen der Entwicklung von Schnittstellen vertraut sein. Idealerweise, aber nicht notwendig, sollten sie auch neuere Techniken wie Cross-Origin Resource Sharing (CORS) oder JSON Web Token (JWT) kennen. Der Vortrag erfordert keine Vorkenntnisse über Schwachstellen oder sichere Entwicklung.

Lernziele

* Was muss beim Umsetzen von Mechanismen zur Authentifizierung und Autorisierung beachtet werden?
* Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen?
* Welche Sicherheitslücken können durch fehlende Eingabevalidierung entstehen?
* Wie kann eine Schutzmaßnahme wie Rate Limiting womöglich umgangen werden?

Wesentlich soll das Bewusstsein dafür geschärft werden, dass „Sicherheit“ nicht mit Abarbeiten einer Top-10-Liste entsteht.
Zudem soll das Interesse zur tiefergehenden Beschäftigung mit Sicherheitsaspekten geweckt werden.