10 Ancaman Keamanan Teratas OWASP terhadap Keamanan API
1. API1: Bug 2019 Otorisasi Tingkat Objek
Biasanya, titik akhir API memperoleh serangan bidang kontrol akses dengan menemukan pengidentifikasi objek pemrosesan. Kita perlu memeriksa item demi item terhadap informasi yang diberikan oleh klien.
2. API2: Bug Otentikasi Pengguna 2019
Penyerang sering menggunakan token yang diperoleh atau kelemahan eksekusi dari sistem verifikasi untuk menyamar sebagai pengguna yang sah dan melakukan operasi ilegal.
3. API3: Eksposur Data Berlebihan 2019
Penyerang dapat menyimpulkan atribut yang relevan dari item tertentu melalui panggilan API dan data yang diperoleh secara legal, lalu menyaring berbagai informasi yang berguna.
4. API4:2019 Sumber Daya Tidak Mencukupi Dan Batas Saat Ini
Secara umum, API tidak membatasi aliran atau jumlah data yang dipanggil. Ini meninggalkan peluang bagi penyerang untuk meluncurkan serangan preemption sumber daya seperti penolakan layanan (DoS).
5. API5:2019 Bug Dalam Otorisasi Tingkat Fungsi
Beberapa API tidak lengkap dalam kebijakan kontrol akses yang kompleks, dan bahkan memiliki kelemahan otorisasi. Ini memungkinkan penyerang untuk mendapatkan sumber daya yang dapat dipanggil oleh pengguna lain melalui panggilan fungsi.
6. API6: Alokasi Batch 2019
Untuk meningkatkan efisiensi, model yang memberikan informasi kepada pengguna di JSON sering memberikan Tugas Massal tanpa penyaringan atribut hukum berdasarkan daftar izin tertentu. Berdasarkan hal ini, penyerang dapat menyimpulkan properti objek, menemukan titik akhir API yang berbeda, atau menemukan properti tambahan dalam payload permintaan dengan membaca dokumentasi pendukung dengan cermat, lalu mengutak-atiknya.
7. API7: Kesalahan Konfigurasi Keamanan API 2019
Kesalahan konfigurasi keamanan sering kali berasal dari desain default yang tidak lengkap, orkestrasi arbitrer, penyimpanan terdistribusi terbuka, ketidakcocokan header HTTP, berbagi aset lintas-asal (CORS) yang longgar dan dimasukkannya permintaan pesan kesalahan panjang yang sensitif untuk data, dll.
8. API8: Injeksi Keamanan API 2019
Informasi berbahaya penyerang dapat mengelabui pemeriksaan input, mengeksploitasi kelemahan SQL atau NoSQL, menjalankan perintah berbahaya, atau memperoleh informasi tanpa validasi yang tepat.
9. API9:2019 Manajemen Aset yang Tidak Benar
API sering kali dapat menemukan lebih banyak titik akhir daripada aplikasi web biasa, yang menjadikannya semakin penting untuk memperbarui dokumentasi pendamping dengan tepat. Dalam hal ini, kami harus terus meningkatkan tabel API yang relevan, dan menemukan titik akhir yang tidak dicatat tepat waktu.
10. API10:2019 Pencatatan Dan Pemantauan Yang Tidak Memadai
Kurangnya pencatatan dan inspeksi, ditambah dengan kemampuan respons insiden yang tidak memadai, membuat panggilan API berisiko diserang.
Pengujian Penetrasi Keamanan API
Pengembang dapat mempertimbangkan untuk menggunakan Postman untuk mem-proxy data uji API yang dibuat sebelumnya untuk berkomunikasi langsung dengan API. Dengan melakukan pengujian penetrasi secara cepat dan berulang terhadap API, kami dapat memperoleh laporan terperinci sekaligus mengurangi biaya pengujian.
Karena pengujian penetrasi harus sangat mahir dalam API target dan bahkan seluruh sistem, yang terbaik adalah menyewa tim keamanan yang terampil atau menggunakan alat sumber terbuka untuk mensimulasikan serangan terhadap API. Melalui pengujian penetrasi reguler dan berkelanjutan, pengembang akan dapat menemukan langkah-langkah perbaikan tepat waktu yang sesuai dengan tingkat perlindungan API.
