Methodik und Daten

Überblick

Die AppSec-Branche hatte sich bisher nicht speziell auf die neueste Architektur von Anwendungen, in denen APIs eine wichtige Rolle spielen fokusiert. Deshalb wäre eine Liste der zehn kritischsten API-Sicherheitsrisiken auf der Grundlage eines öffentlichen Datenaufrufs zu erstellen, eine schwierige Aufgabe gewesen. Obwohl es keinen öffentlichen Datenaufruf gab, basiert die Top-10-Liste auf öffentlich verfügbaren Daten, Beiträgen von Sicherheitsexperten und offene Diskussionen mit der Community.

Methodik

In der ersten Phase wurden öffentlich verfügbare Daten über Sicherheitsvorfälle mit APIs von einer Gruppe von Sicherheitsexperten gesammelt, geprüft und kategorisiert. Solche Daten wurden innerhalb eines Zeitraums von einem Jahr von Bug Bounty-Plattformen und Schwachstellendatenbanken gesammelt. Sie wurden für statistische Zwecke verwendet.

In der nächsten Phase wurden Sicherheitsexperten mit Erfahrung in Penetrationstests gebeten, ihre eigene Top-10-Liste zusammenzustellen.

Zur Durchführung der Risikoanalyse wurde die OWASP Risk Rating Methodology verwendet. Die Bewertungen wurden von den Sicherheitsexperten diskutiert und überprüft. Für Überlegungen zu diesen Themen finden Sie im Abschnitt API-Sicherheitsrisiken.

Der erste Entwurf der OWASP API Security Top 10 2019 entstand aus einem Konsens zwischen den statistischen Ergebnissen aus Phase eins und den Listen der Sicherheitsexperten. Dieser Entwurf wurde dann einer weiteren Gruppe von Sicherheitsexperten mit einschlägiger Erfahrung im Bereich der API-Sicherheit weitergeleitet.

Die OWASP API Security Top 10 2019 wurde erstmals auf der OWASP Global AppSec Tel Aviv Veranstaltung (Mai 2019) vorgestellt. Seitdem steht sie auf GitHub für öffentliche Diskussionen und Beiträge zur Verfügung.

Die Liste der Mitwirkenden ist im Abschnitt Acknowledgments verfügbar.