BLOG

Behebung der zehn häufigsten API-Schwachstellen von OWASP: API-Sicherheit erfordert Bot-Management

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 29. Februar 2024

Die Cybersicherheitsteams der Unternehmen haben ihren Schwerpunkt auf die API-Sicherheit gerichtet, und das zu Recht. In der digitalen Wirtschaft sind APIs die Eingangstür zum Geschäft, ein Einstiegspunkt für IoT-Geräte, Web- und mobile Apps und zunehmend auch für KI-gesteuerte Applications , die unsere Geschäftsabläufe verändern. Leider sind APIs auch die Eingangstür für Kriminelle, von denen viele auf Bots angewiesen sind, um Angriffe durchzuführen. Daher ist es für Sicherheitsteams von entscheidender Bedeutung, APIs zu schützen und die Angriffe von Bots abzuwehren .

Ein Blick auf die zehn größten API-Sicherheitslücken von OWASP macht deutlich, wie wichtig Bots bei Angriffen auf APIs sind. Drei der zehn größten API-Schwachstellen stehen in direktem und offensichtlichem Zusammenhang mit Bots:

  • Fehlerhafte Authentifizierung : Bots brechen die Authentifizierung durch Brute-Force-, Wörterbuch- und Credential-Stuffing -Angriffe, was zur Übernahme von Konten, Betrug, finanziellen Verlusten und verärgerten Kunden führt.
  • Unbegrenzter Ressourcenverbrauch : Es sind Bots, die den uneingeschränkten Ressourcenverbrauch ausnutzen und so den Speicher und die Verarbeitungskapazität von APIs erschöpfen. Wenn Bots auf APIs abzielen, die für die Nutzung durch interaktive Applications konzipiert sind – also von Menschen genutzte Web- und Applications – können die Auswirkungen auf Leistung und Kosten katastrophal sein.
  • Uneingeschränkter Zugriff auf sensible Geschäftsabläufe : Ein übermäßiger Zugriff auf bestimmte Geschäftsabläufe kann dem Geschäft schaden. Nicht autorisierte Wiederverkäufer können den Lagerbestand eines Artikels aufkaufen, um ihn zu einem höheren Preis weiterzuverkaufen. Spammer können einen Kommentar-/Post-Fluss ausnutzen. Über ein Reservierungssystem können Angreifer alle verfügbaren Zeitfenster reservieren. In jedem Fall sind es Bots, die den Schaden verursachen. Erinnern Sie sich, wie schnell die Konzertkarten für Taylor Swift ausverkauft waren, was zum Absturz der Ticketmaster-App führte und die Fans frustrierte? Es waren Bots, die diesen Aufruhr verursachten .

Die anderen sieben Punkte auf der Top-Ten-Liste der OWASP-API – Schwachstellen wie Sicherheitsfehlkonfigurationen, mangelhafte Bestandsverwaltung und fehlerhafte Autorisierung – stehen nicht so offensichtlich im Zusammenhang mit Bots. Dennoch verlassen sich Angreifer auf Bots, um diese Schwachstellen effektiv zu entdecken und schnell auszunutzen. In seinem Buch „Hacking APIs “ erklärt Corey J. Ball die Verwendung mehrerer automatisierter Tools zur API-Erkennung (OWASP ZAP, Gobuster, Kiterunner) und zum Fuzzing (Postman, Wfuzz und Burp Suite). Mithilfe dieser Tools senden Angreifer Tausende von Anfragen an APIs, um Schwachstellen aufzuspüren. Um Einblick in diese Schnüffelei zu gewinnen und ihre Erfolgschancen zu verringern, bedarf es eines effektiven Systems zur Abwehr von Bots.

Darüber hinaus führen KI Applications zu einer erheblichen Zahl von APIs und machen diese APIs anfälliger für automatisierte Angriffe. Als Reaktion darauf hat OWASP seine Top 10 der Risiken und Minderungen für LLMs und Gen AI Apps 2025 veröffentlicht. Weitere Informationen finden Sie in meinem aktuellen Beitrag „ Wie Bots große Sprachmodelle angreifen“ .

Es ist wichtig zu beachten, dass Bots nicht alle APIs auf die gleiche Weise beeinflussen. Die APIs, die Maschine-zu-Maschine sind und auf die durch automatisierte Prozesse (normalerweise interne Prozesse oder die von Partnern) zugegriffen wird, sind typischerweise durch gegenseitiges TLS geschützt. In diesem Fall ist das Risiko einer fehlerhaften Authentifizierung gering und die Ratenbegrenzung kann pro authentifiziertem Client erzwungen werden. Vielmehr sind es die APIs, die ausschließlich Datenverkehr von interaktiven Apps erwarten – also von Web- und mobilen Apps in den Händen von Menschen –, die am anfälligsten für Bots sind.

Für APIs, die von Menschen initiierten Datenverkehr erwarten, ist die Abwehr von Bots zunehmend schwieriger geworden. Open-Source -Bibliotheken machen es einfach, einer Erkennung durch Header-Fingerprinting zu entgehen. Außerdem stehen Bot-Betreibern überall verfügbare Dienste zur Verfügung, um CAPTCHAs und Proxy- Anfragen in Netzwerken mit zig Millionen privaten IP-Adressen zu umgehen. Da die alten Techniken der Header-Analyse, IP-Deny-Listen und CAPTCHA nicht mehr wirksam sind , müssen sich Application , die Bots entschärfen möchten, auf eine umfassende clientseitige Signalerfassung verlassen und dabei JavaScript und mobile SDKs sowie ausgefeiltes maschinelles Lernen nutzen, um zwischen Angriffstools und Bot-Verhalten zu unterscheiden.

Welche APIs Ihres Unternehmens sind anfällig für Bots, wie wahrscheinlich sind Auswirkungen und welche Kosten entstehen ihnen und wie können Sie Sicherheitskontrollen entwickeln, um den notwendigen Schutz vor Bots zu gewährleisten? Dies sind gute Fragen, die bei der Bedrohungsmodellierung behandelt werden sollten. Weitere Informationen zu den geschäftlichen Auswirkungen von Bots finden Sie in unserem F5- Whitepaper zu diesem Thema oder melden Sie sich für eine kostenlose Beratung an.