API1:2023 - Otorisasi Level Objek yang Rusak |
API cenderung memaparkan titik akhir yang menangani pengenal obyek, hal ini menciptakan sebuah permukaan serangan yang luas atas Kendali Akses Tingkat Obyek. Pemeriksaan otorisasi tingkat obyek perlu dipertimbangkan di setiap fungsi yang mengakses sumber data menggunakan ID pengguna. |
API2:2023 - Otentikasi yang Rusak |
Mekanisme otentikasi seringkali tidak diimplementasikan dengan tepat, hal ini memungkinkan penyerang untuk mengambil token otentikasi atau mengeksploitasi celah implementasi untuk mengambil identitas user lain secara sementara atau permanen. Membahayakan kemampuan sistem untuk mengeidentifikasi klien/pengguna, membahayakan keseluruhan keamanan API. |
API3:2023 - Otorisasi Tingkat Properti Objek yang Rusak |
Kategori ini menggabungkan API3:2019 Pengungkapan Data Berlebihan dan API6:2019 - Penugasan Massal, berfokus pada akar masalah: tidak adanya atau tidak tepatnya validasi otorisasi pada tingkat properti obyek. Hal ini berakibat pengungkapan atau manipulasi informasi oleh pihak yang tidak berwenang. |
API4:2023 - Konsumsi Sumber Daya yang Tidak Terbatas |
Pemenuhan permintaan API membutuhkan sumber daya seperti lebar pita jaringan, CPU, memori, dan penyimpanan. Sumber daya lain seperti email/SMS/panggilan telpon atau validasi biometrik disediakan oleh para penyelenggara melalui integrasi API, dan dibayar berdasarkan jumlah permintaan. Serangan yang berhasil dapat menyebabkan Denial of Service atau meningkatnya biaya operasional. |
API5:2023 - Otorisasi Tingkat Fungsi yang Rusak |
Kebijakan kendali akses yang kompleks dengan hierarki, kelompok, dan peran yang berbeda, serta tidak jelasnya pemisahan fungsi administratif dan reguler, cenderung mengakibatkan terjadinya celah otorisasi. Dengan mengeksploitasi isu ini, penyerang dapat memperoleh akses ke sumber daya dan/atau fungsi administratif pengguna lain. |
API6:2023 - Akses Tanpa Batas ke Aliran Bisnis Sensitif |
API yang rentan terhadap risiko ini memaparkan alur bisnis - seperti membeli tiket, atau memberikan komentar - tanpa mengkompensasi bagaimana fungsionalitas tersebut dapat membahayakan bisnis bila digunakan secara berlebihan dengan menggunakan cara yang terotomatisasi. Hal ini tidak berarti disebabkan oleh kesalahan implementasi. |
API7:2023 - Pemalsuan Permintaan Sisi Server |
Celah Pemalsuan Permintaan Sisi Server (Server-Side Request Forgery - SSRF) dapat terjadi ketika API mengambil sumber daya jauh tanpa memvalidasi URI yang diberikan pengguna. Hal ini memungkinan penyerang memaksa aplikasi untuk mengirimkan permintaan ke tujuan yang tidak terduga, bahkan bila dilindungi oleh firewall atau VPN. |
API8:2023 - Miskonfigurasi Keamanan |
API dan sistem yang mendukung mereka biasanya berisikan konfigurasi yang kompleks, yang dimaksudkan untuk mempermudah penyesuaian API. Insinyur Software and DevOps dapat melewatkan konfigurasi ini, atau tidak mengikuti praktek keamanan terbaik, membuka pintu bagi beragam jenis serangan. |
API9:2023 - Pengelolaan Inventaris yang Tidak Tepat |
API cenderung memaparkan lebih banyak titik akhir dibandingkan aplikasi web tradisional, membuat dokumentasi yang tepat dan terkini menjadi sangat penting. Inventori yang tepat mengenai host dan versi API yang diterapkan juga penting untuk memitigasi isu seperti API yang tidak lagi digunakan dan terbukanya titik akhir debug. |
API10:2023 - Konsumsi API yang Tidak Aman |
Pengembang software cenderung mempercayai data yang diterima dari API pihak ketiga daripada input pengguna, dan akibatnya cenderung mengadopsi standar keamanan yang lebih lemah. Dalam rangka membahayakan API, penyerang mentargetkan layanan pihak ketiga alih-alih berusaha menyerang target API secara langsung. |