API-Sicherheit: OWASP Top 10 API Security Risks

Dieser Workshop veranschaulicht die Theorie sowie die praktische Anwendung grundlegender Angriffsvektoren anhand mehrerer praktischer Beispiele. Als Grundlage dienen die “OWASP TOP 10 Sicherheitsrisiken für APIs ”. Darüber hinaus werden der “OAuth 2.0”-Standard sowie das “OpenID Connect”-Protokoll (OIDC) als gängige Autorisierungs- und Authentifizierungsframeworks vorgestellt und im Detail erläutert.

Inhalte

Application Programming Interfaces (APIs) sind das Herzstück des digitalen Datenaustauschs zwischen Clients und Servern. Mit ihrer zunehmenden Verbreitung auch in kritischen Geschäftsbereichen steigt das Risiko von Angriffsvektoren und Schwachstellen. Ein geschickter Angreifer könnte diese ausnutzen, um an sensible Daten zu gelangen. Ein gutes Verständnis dieser Schwachstellen und ihrer Behebung ist daher für die Entwicklung solcher Schnittstellen unerlässlich.

In diesem Workshop lernen Sie die Top 10 Sicherheitsrisiken für APIs kennen und erfahren, wie die daraus resultierenden Angriffsvektoren und Schwachstellen behoben bzw. verhindert werden können. Der Workshop ist interaktiv gestaltet und die Teilnehmenden werden ermutigt, sich aktiv an den Übungen zu beteiligen.

Nach einer Einführung in die theoretischen Grundlagen führen Sie selbstständig gängige Angriffe auf API-Schnittstellen durch, um ein noch tieferes Sicherheitsverständnis zu erlangen. Hierfür steht jedem Teilnehmer eine virtuelle Maschine (VM) als Übungsumgebung zur Verfügung.

Themen in der Übersicht

• Grundlagen HTTP

  • Aufbau HTTP Anfragen und Antworten

  • Erläuterung der gängigsten HTTP-Methoden

  • Erläuterung der gängigsten HTTP Statuscodes

• Grundlagen APIs

  • Einführung in verschiedene Software-Architekturstile

  • Verarbeitung von Anfragen im Rahmen einer REST-Architektur

  • Verarbeitung von Anfragen mit Nutzung von GraphQl

• Authentifizierung & Autorisierung

  • Grundlagen: Sessions Authentication

  • Grundlagen: JSON Web Tokens (JWTs)

• OWASP Top 10 API Security Risks

  • Vollständige Auflistung der aktuellsten TOP 10 Schwachstellen

  • Demonstrationen von Angriffen auf REST- und GraphQL-APIs

  • Praktische Ausnutzung von Schwachstellen anhand verwundbarer APIs

  • Erläuterung von Gegenmaßnahmen zur Behebung dieser Schwachstellen

• Exkurs: OAuth 2.0 & OIDC

  • Detailliertes Verständnis gegenüber des OAuth 2.0 Standards und des OpenID Connect Protokolls

  • Erläuterung von Angriffsvektoren

  • Praktische Ausnutzung von Schwachstellen in der Implementierung

Zielgruppe

Der Workshop richtet sich an alle Personen, die sich mit der Entwicklung von APIs beschäftigen und ihre Kenntnisse im Bereich der Sicherheit erweitern möchten. Vorkenntnisse im Bereich der API-Entwicklung sind von Vorteil, aber nicht zwingend erforderlich.

Voraussetzungen

Da die praktische Ausnutzung von Schwachstellen durch die Workshop-Teilnehmer durchgeführt werden soll, wird folgendes vorausgesetzt:

• Laptop mit guter Internetverbindung

• Virtualbox installiert (Version 7.1.4)

• Grundkenntnisse in HTML und HTTP

Eine Virtuelle Maschine (VM) wird jedem Teilnehmer bereitgestellt. Tiefergehende Vorkenntnisse im Bereich HTTP und APIs sind empfehlenswert, jedoch nicht absolut notwendig. Es wird eine kurze Wiederholung der Grundlagen im Bereich HTTP und APIs geben, aber nicht im Tieferen darauf eingegangen.

Leistungen Ihres Workshoptickets

• Workshopunterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 12 Personen begrenzt.