Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Angriffsziel Web-APIs – Risiken systematisch minimieren

Viele Webanwendungen sind oft "nur" Konsumenten mächtiger APIs, welche die eigentliche Arbeit machen. Weil diese Schnittstellen naturgemäß öffentlich erreichbar sind, müssen deren Entwickler davon ausgehen, dass alle übermittelten Daten grundsätzlich bösartig sind.

Dieser Vortrag stellt ein praxiserprobtes Design Pattern vor, anhand dessen sich die üblichen Überprüfungen (Authentisierung, Autorisierung, Eingabevalidierung) bequem formalisieren und automatisieren lassen, ohne dass man auf ein bestimmtes Framework angewiesen ist. Das Entwurfsmuster ist das Ergebnis aus 14 Jahren Produktentwicklung mit dem Ziel maximaler Sicherheit bei minimalem Implementierungsaufwand.

Vorkenntnisse

Grundlegende Kenntnisse von Web-APIs (insbesondere JSON und REST) sowie MVC sind hilfreich, aber nicht zwingend. Die Codebeispiele sind in C++, PHP und Pseudocode; das Konzept lässt sich in allen modernen Backend-Sprachen anwenden.

Lernziele

Idealerweise verlässt man diesen Vortrag mit einer Idee im Hinterkopf, wie man künftig bei jeder API-Methode viel Code spart und gleichzeitig die Sicherheit "by design" erhöht. Möglicherweise verspürt man aber auch das dringende Bedürfnis, eigene APIs komplett zu refactoren.
Die Inhalte sind:

  • Überblick über die häufigsten Angriffspunkte von Web-APIs
  • Schrittweise Herleitung eines Entwurfsmusters für verlässliche API-Sicherheit

Speaker

 

Klaus Keppler
Klaus Keppler entwickelt seit 25 Jahren Webanwendungen. Als Geschäftsführer der Keppler IT GmbH liegen seine Schwerpunkte in der Architekturplanung und strukturierten Implementierung von Anwendungen, die tagtäglich auf tausenden Servern genutzt werden.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden