Painéis do OWASP API Security Top 10¶

O OWASP API Security Top 10 é o padrão ouro para a avaliação do risco de segurança em APIs. Para ajudá-lo a medir a postura de segurança da sua API contra essas ameaças de API, a Wallarm oferece os painéis que fornecem visibilidade clara e métricas para a mitigação de ameaças.

Os painéis cobrem os riscos do OWASP API Security Top 10 das versões de 2019 e 2023.

Ao usar esses painéis, você pode avaliar o estado geral de segurança e abordar proativamente os problemas de segurança descobertos configurando controles de segurança apropriados.

Avaliação de ameaças¶

A Wallarm estima o risco para cada ameaça de API com base nos controles de segurança aplicados e vulnerabilidades descobertas:

Vermelho - ocorre se não houver controles de segurança aplicados ou se suas APIs tiverem vulnerabilidades ativas de alto risco.
Amarelo - ocorre se os controles de segurança forem aplicados apenas parcialmente ou se suas APIs tiverem vulnerabilidades ativas de risco médio ou baixo.
Verde indica que suas APIs estão protegidas e não têm vulnerabilidades abertas.

Para cada ameaça do OWASP API Top 10, você pode encontrar informações detalhadas sobre a ameaça, controles de segurança disponíveis, vulnerabilidades correspondentes e investigar ataques relacionados:

Controles de segurança da Wallarm para OWASP API 2023¶

A plataforma de segurança da Wallarm fornece proteção completa contra o OWASP API Security Top 10 2023 pelos seguintes controles de segurança:

Ameaças do OWASP API Top 10 2023	Controles de Segurança da Wallarm
API1:2023 Autorização de Nível de Objeto Quebrada	Mitigação automática de BOLA para criar gatilhos automaticamente para proteger endpoints vulneráveis
API2:2023 Autenticação Quebrada	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente Gatilho de força bruta para mitigar ataques de força bruta direcionados a endpoints de autenticação Detecção de JWT Fraco gatilho para descobrir vulnerabilidades de autenticação fracas com base em solicitações com JWTs fracos
API3:2023 Autorização de Nível de Propriedade de Objeto Quebrada	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente
API4:2023 Consumo Irrestrito de Recursos	Gatilho de força bruta para mitigar ataques de força bruta que geralmente levam a DoS (Denial of Service), tornando a API irresponsiva ou até indisponível
API5:2023 Autorização de Nível de Função Quebrada	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente Gatilho de navegação forçada para mitigar tentativas de navegação forçada que também são uma maneira de exploração dessa ameaça
API6:2023 Acesso Irrestrito a Fluxos de Negócios Sensíveis	Prevenção de abuso de API para mitigar ações de bots maliciosos
API7:2023 Falsificação de Solicitação do Lado do Servidor	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente
API8:2023 Má Configuração de Segurança	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente Autoverificações do nó Wallarm para manter as versões do nó e as políticas de segurança atualizadas (veja como resolver os problemas)
API9:2023 Gerenciamento Improper de Inventário	Descoberta de API para descobrir automaticamente o registro atual da API com base no tráfego real
API10:2023 Consumo Inseguro de APIs	Scanner de Vulnerabilidade para descobrir vulnerabilidades ativas do tipo correspondente