3. Preventing API Vulnerabilities

Wie verhindert man API Schwachstellen

Best-Practice - Dokumentation absichern wenn kein Bedarf besteht es öffentlich zugriffbar zu machen - Dokumentation aktuell halten damit Tester sehen welche Angriffsflächen die Webseite hat - Eine Art Whitelist für HTTP Methoden - Content-Typ prüfen - Anfragen und Antworten müssen erwartetes Format haben - Generische Fehlermeldungen verwenden damit keine unnötigen Infos preisgegeben werden - Alle Versionen der API schützen - nicht nur die aktuelle Produktionsversion - Mass Alignment verhindern: - Allowlist für Felder, die User ändern dürfen - Blocklist für sensible Felder, die niemals durch den user geändert werden dürfen