What is the OWASP (Open Web Application Security Project)?

OWASP is a non-profit organization that promotes web application security by providing free resources, such as security best practices and risk lists, to help organizations secure their applications.

What does "broken authorization" mean in API security?

"Broken authorization" can refer to a number of OWASP risks for APIs: broken object-level authorization, broken object property-level authorization, and broken function-level authorization. All three of these vulnerabilities can allow attackers to expose or manipulate sensitive data.

What are some examples of API security risks?

Key API risks include unrestricted resource consumption, server-side request forgery (SSRF), and poor API inventory management, all of which can lead to data exposure or service disruption.

What are authentication vulnerabilities in APIs?

Authentication vulnerabilities occur when APIs do not properly verify users, enabling attackers to impersonate legitimate users and gain unauthorized access to sensitive data.

What are third-party API risks?

Third-party API risks can arise when an API interacts with external services. Attackers may target those external services rather than targeting the API directly, especially when the API tends to trust data from those third-party services.

What is Cloudflare API Shield?

Cloudflare API Shield is a solution that helps organizations secure their APIs by providing API discovery, centralized management, monitoring, and layered security defenses.

How does the OWASP API Security Top 10 relate to the OWASP Top 10 for web apps?

Both of these lists categorize common security risks. The OWASP API Security Top 10 is specific to APIs, while the OWASP Top 10 applies to web applications in general. APIs are almost always crucial pieces of a web application's infrastructure, so both lists should be taken into account by security-minded web app developers. There is some overlap in terms of the types of security risks APIs and web apps face, such as issues with broken access control and server-side request forgery, but the implementation of solutions for these risks will be slightly different for APIs and web apps.

What is business flow exploitation in APIs?

Business flow exploitation occurs when attackers abuse legitimate API workflows — like making excessive purchases or reservations — to disrupt business operations.

What is the OWASP API Security Top 10?

Q: What is the OWASP API Security Top 10?

The OWASP API Security Top 10 is a list of the most critical security risks facing APIs. It helps organizations understand and address common vulnerabilities in API design and implementation.

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

El Open Web Application Security Project (OWASP) elabora una lista de los mayores riesgos de seguridad para las interfaces de programación de aplicaciones (API).

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

El Open Web Application Security Project (Proyecto de Seguridad de Aplicaciones de la Red en Abierto u OWASP) es una organización sin fin de lucro cuyo objetivo es promover la seguridad de las aplicaciones de la red. El OWASP ofrece muchos recursos gratuitos para construir una aplicación web más segura.

Uno de los recursos más consultados de la organización es OWASP Top 10, que enumera los 10 mayores problemas de seguridad de la aplicación web . OWASP también mantiene una lista separada y similar para las interfaces de programación de aplicaciones (APIs), que son cruciales para impulsar la mayoría de las experiencias web y móviles.

Las APIs pueden impulsar ventajas competitivas para las empresas al proporcionar inteligencia empresarial, facilitar las implementaciones en la nube y permitir la integración de las capacidades de la IA. Pero al mismo tiempo las APIs pueden introducir nuevos riesgos al permitir que terceros accedan a la aplicación, compartan datos y ejecuten flujos de trabajo potencialmente confidenciales.

Este OWASP Top 10 API Security, cuya última publicación es de 2023, destaca los problemas clave que las organizaciones deben abordar para proteger mejor sus APIs, aplicaciones y datos. La lista incluye:

Autorización a nivel de objeto roto: los atacantes pueden intentar explotar puntos finales de la API vulnerables a la autorización a nivel de objeto roto. Podrían manipular los identificadores de objetos dentro de una solicitud para obtener acceso no autorizado a datos confidenciales.
Autenticación interrumpida: si la autenticación se implementa de forma incorrecta, los atacantes podrían hacerse pasar por los usuarios de la API y obtener acceso a datos confidenciales.
Fallo en la autorización a nivel de propiedad de objeto: la falta de autorización o una validación de autorización incorrecta a nivel de propiedad de objeto podría dejar la información expuesta o vulnerable a la manipulación por parte de personas no autorizadas.
Consumo de recursos sin restricciones: muchas APIs no limitan las interacciones de los clientes ni el consumo de recursos. Los atacantes podría generar un alto volumen de llamadas API, lo que puede aumentar los costes operativos y provocar una denegación de servicio.
Autorización a nivel de función interrumpida: los atacantes podrían enviar una llamada API legítima a un punto final al que no deberían poder acceder. Pueden obtener acceso a los recursos o funciones administrativas de otros usuarios.
Acceso ilimitado a flujos comerciales confidenciales: las APIs pueden exponer un flujo comercial (como publicar un comentario en un sitio web, comprar un producto o hacer una reserva), lo que permite a los atacantes ejecutar ese flujo en exceso.
Falsificación de solicitud del lado del servidor: una API puede obtener un recurso remoto sin validar la URL proporcionada por el usuario. Por ejemplo, un usuario podría proporcionar una URL para cargar una imagen en una plataforma de redes sociales. Esa URL podría entonces iniciar un escaneo de puertos dentro de una red interna.
Gestión inadecuada del inventario: la API puede exponer más los puntos finales que las aplicaciones web tradicionales. Si las organizaciones no hacen un inventario de los hosts y las versiones de las APIs implementadas, podrían dejar versiones obsoletas de las APIs y puntos finales vulnerables.
Consumo no seguro de APIs: los atacantes podrían atacar servicios de terceros que interactúan con APIs en lugar de atacar directamente una API. Se dan cuenta de que los desarrolladores suelen confiar más en los datos de las APIs de terceros que en las entradas de los usuarios.

Para obtener más información sobre estos 10 riesgos de seguridad, consulta la página oficial de OWASP.

Hay cierto cruce entre el Top 10 de OWASP (lista completa aquí) y el Top 10 de OWASP API Security. Por ejemplo, la interrupción del control de acceso es el primer problema de la lista del Top 10 de OWASP, y hay varias formas de interrupción de la autenticación y la autorización entre los cinco primeros problemas de seguridad de la lista de las APIs. Además, la configuración errónea de la seguridad y la falsificación de solicitudes del lado del servidor aparecen en ambas listas.

Sin embargo, las APIs presentan varios riesgos distintos en comparación con la aplicación web . Los desarrolladores deben tener en cuenta ambas listas.

¿Cómo ayuda Cloudflare a abordar los riesgos de seguridad de las APIs?

API Shield de Cloudflare, que ayuda a mantener las APIs seguras y funcionando tal y como deberían a través de las capacidades de detección de APIs, la gestión y supervisión centralizadas de las APIs, y las defensas innovadoras por capas. API Shield forma parte de la cartera de soluciones de seguridad de aplicaciones de Cloudflare, que ofrece funciones adicionales para detener ataques de bots, ataques DDoS y ataques de aplicación a la vez que supervisa los ataques a la cadena de suministro.

Descubre cómo las capacidades de Cloudflare abordan los riesgos específicos detallados en el Top 10 de OWASP API Security. Y descubre más soluciones de seguridad de las APIs de Cloudflare.

Preguntas frecuentes

¿Qué es OWASP (Proyecto Abierto de Seguridad de Aplicaciones Web)?

OWASP es una organización sin ánimo de lucro que fomenta la seguridad de las aplicaciones web al ofrecer recursos gratuitos, como las prácticas recomendadas de seguridad y las listas de riesgos, con el objetivo de ayudar a las organizaciones a proteger sus aplicaciones.

¿Cuáles son las 10 principales vulnerabilidades de OWASP contra la seguridad de las API?

La lista de las 10 principales vulnerabilidades de las API de OWASP es una lista de los riesgos de seguridad más críticos a los que se enfrentan las API. Ayuda a las organizaciones a comprender y abordar las vulnerabilidades más comunes en el diseño y la implementación de las API.

¿Qué significa "violación de autorización" en el contexto de la seguridad de las API?

"Violación de autorización" puede referirse a varios riesgos de OWASP para las API: violación de autorización a nivel de objeto, violación de autorización a nivel de propiedad de objeto y violación de autorización a nivel de función. Las tres vulnerabilidades pueden permitir a los atacantes exponer o manipular datos confidenciales.

¿Cuáles son algunos ejemplos de riesgos de seguridad de las API?

Los principales riesgos relacionados con las API incluyen el consumo ilimitado de recursos, la falsificación de solicitudes del lado del servidor (SSRF) y la gestión deficiente del inventario de API, todo lo cual puede llevar a la exposición de datos o a la interrupción del servicio.

¿Cuáles son las vulnerabilidades de autenticación en las API?

Las vulnerabilidades de autenticación se producen cuando las API no verifican adecuadamente a los usuarios, lo que permite a los atacantes suplantar a usuarios legítimos y obtener acceso no autorizado a datos confidenciales.

¿Qué riesgos representan las API de terceros?

Las API de terceros pueden suponer un riesgo cuando una API interactúa con servicios externos. Los atacantes pueden tener como objetivo esos servicios externos en lugar de atacar directamente la API, especialmente cuando la API tiende a confiar en los datos de esos servicios de terceros.

¿Qué es Cloudflare API Shield?

Cloudflare API Shield es una solución que ayuda a las organizaciones a proteger sus API, ya que proporciona descubrimiento de API, gestión centralizada, supervisión y defensa de seguridad por capas.

¿Cuál es la relación entre la lista de las 10 principales vulnerabilidades de seguridad de las API de OWASP y la lista de las 10 principales vulnerabilidades para aplicaciones web de OWASP?

Ambas listas categorizan los riesgos de seguridad más comunes. La lista de las 10 principales vulnerabilidades de seguridad de las API de OWASP es específica de las API, mientras que la lista de las 10 principales vulnerabilidades de seguridad de OWASP es aplicable a las aplicaciones web en general. Las API son casi siempre componentes esenciales de la infraestructura de una aplicación web, por lo que los desarrolladores de aplicaciones web preocupados por la seguridad deben considerar ambas listas. Existe cierto solapamiento entre los tipos de riesgos de seguridad que afrontan las API y los de las aplicaciones web, como los problemas relacionados con la pérdida del control de acceso y la falsificación de solicitudes del lado del servidor. Sin embargo, la implementación de soluciones para estos riesgos no será exactamente igual para ambas.

¿Qué es la explotación del flujo de negocio en las API?

La explotación del flujo de negocio se produce cuando los atacantes abusan de flujos de trabajo legítimos de las API (por ejemplo, realizan un número excesivo de compras o reservas) con el objetivo de interrumpir las operaciones comerciales.