El proyecto OWASP (Open Web Application Security Project) ha anunciado su nueva iniciativa para la seguridad de software, al que ha denominado OWASP API Security Project. El anuncio fue hecho la semana pasada en Nueva Orleans, Estados Unidos, durante la conferencia de seguridad NolaCon. OWASP ha designado como responsable del proyecto a David Shaw, CISO de AppFolio.
La API o Interfaz de Programación de Aplicaciones es el programa de computadora que ofrece cierta utilidad para ser utilizado por otro programa o componente de software. Una API codificada de forma no adecuada o segura puede ser aprovechada por un atacante para el acceso a los sistemas de información con los que interactúa con impacto en el acceso a los datos que maneja o inclusive la ejecución remota de codigo y hacerse del control del sistema.
Mediante el Proyecto de Seguridad API de OWASP los desarrolladores de software y evaluadores de seguridad podrán conocer los riesgos de seguridad potenciales en las API y su mitigación. El proyecto mantendrá un documento con los 10 principales riesgos de seguridad API, así como un portal de documentación de las mejores prácticas en la creación o evaluación de las API.
En la conferencia NolaCon se presentó la primera versión de lo que será el Top 10 API Security Risks del proyecto, aunque sólo se mostraron 9 riesgos de seguridad:
- Incorrecta desinfección de datos
- Insuficiente control de acceso
- Insegura referencia directa de objeto
- Insuficiente seguridad en la capa de transporte
- Exposición de datos confidenciales
- Débil seguridad del lado del servidor
- Incorrecto manejo de llave
- Inconsistente funcionalidad API
- Mala configuración de seguridad