API-Sicherheit: OWASP Top 10 API Security Risks

Application Programming Interfaces (APIs) bilden das Herzstück des digitalen Datenaustauschs zwischen Clients und Servern und sind daher auch ein häufiges Ziel von Cyberangriffen. Ein grundlegendes Verständnis von Sicherheitsrisiken und Schutzmaßnahmen ist daher unerlässlich für alle, die APIs entwickeln oder betreiben.

Nach Teilnahme am Workshop können Sie ...

• die OWASP Top 10 API-Sicherheitsrisiken benennen, ihre Ursachen verstehen und ihre Relevanz für Ihre berufliche Praxis einschätzen.

• typische Schwachstellen in REST- und GraphQL-APIs erkennen und gängige Angriffsszenarien praktisch nachvollziehen.

• wirksame Schutzmaßnahmen umsetzen und sicherheitsbewusste Architekturentscheidungen bei der API-Entwicklung treffen.

• OAuth 2.0 und OpenID Connect in ihren Grundzügen verstehen und sicherheitskritische Implementierungsfehler bewerten.

Inhalte

In diesem Workshop lernen Sie die sicherheitsrelevanten Aspekte moderner API-Entwicklung anhand der „OWASP Top 10 API Security Risks“ kennen. Sie erfahren, wie typische Schwachstellen erkannt, bewertet und durch geeignete Maßnahmen abgesichert werden können. Der Workshop ist interaktiv gestaltet und legt den Fokus auf praxisnahe Demonstrationen sowie eigenständige Übungen zur Analyse und Absicherung von REST- und GraphQL-Schnittstellen.

Nach einer Einführung in die theoretischen Grundlagen führen Sie selbstständig gängige Angriffe auf API-Schnittstellen durch, um ein tieferes Verständnis für reale Angriffsszenarien und deren Abwehr zu erlangen. Zusätzlich lernen Sie moderne Authentifizierungs- und Autorisierungsverfahren wie OAuth 2.0 und OpenID Connect kennen, inklusive potenzieller Schwachstellen in der Implementierung kennen. Hierfür steht jedem Teilnehmer eine virtuelle Maschine (VM) als Übungsumgebung zur Verfügung.

Themen in der Übersicht

• 1. Grundlagen HTTP

  • Aufbau HTTP Anfragen und Antworten

  • Erläuterung der gängigsten HTTP-Methoden

  • Erläuterung der gängigsten HTTP Statuscodes

• 2. Grundlagen APIs

  • Einführung in verschiedene Software-Architekturstile

  • Verarbeitung von Anfragen im Rahmen einer REST-Architektur

  • Verarbeitung von Anfragen mit Nutzung von GraphQl

• 3. Authentifizierung & Autorisierung

  • Grundlagen: Sessions Authentication

  • Grundlagen: JSON Web Tokens (JWTs)

• 4. OWASP Top 10 API Security Risks

  • Vollständige Auflistung der aktuellsten TOP 10 Schwachstellen

  • Demonstrationen von Angriffen auf REST- und GraphQL-APIs

  • Praktische Ausnutzung von Schwachstellen anhand verwundbarer APIs

  • Erläuterung von Gegenmaßnahmen zur Behebung dieser Schwachstellen

• 5. Exkurs: OAuth 2.0 & OIDC

  • Detailliertes Verständnis gegenüber des OAuth 2.0 Standards und des OpenID Connect Protokolls

  • Erläuterung von Angriffsvektoren

  • Praktische Ausnutzung von Schwachstellen in der Implementierung

Zielgruppe

Entwickler ohne tiefgreifende Vorkenntnisse in der API-Entwicklung, die einen Einstieg in das Thema API-Sicherheit suchen

Entwickler mit Erfahrung in der API-Entwicklung, die ihr Wissen gezielt im Bereich Sicherheit ausbauen und vertiefen möchten

Voraussetzungen

• Vorkenntnisse

  • Grundkenntnisse in HTML und HTTP

  • Tiefergehende Vorkenntnisse in HTTP und APIs sind empfehlenswert, jedoch nicht notwendig. Es wird eine kurze Wiederholung der Grundlagen im Bereich HTTP und APIs geben.

• Technische Voraussetzungen

  • Laptop mit guter Internetverbindung

  • Ein Zugang zu einer Lab-Infrastruktur als Übungsumgebung wird jedem Teilnehmer bereitgestellt.

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt die Schulung in Gruppen von höchstens 12 Personen.

Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.