API Security Risks The OWASP Risk Rating Methodology was used to do the risk analysis. The table below summarizes the terminology associated with the risk score. Threat Agents Exploitability Weakness Prevalence Weakness Detectability Technical Impact Business Impacts API Specific Easy: 3 Widespread 3 Easy 3 Severe 3 Business Specific API Specific Average: 2 Common 2 Average 2 Moderate 2 Business Specific API Specific Difficult: 1 Difficult 1 Difficult 1 Minor 1 Business Specific Note: This approach does not take the likelihood of the threat agent into account. Nor does it account for any of the various technical details associated with your particular application. Any of these factors could significantly affect the overall likelihood of an attacker finding and exploiting a particular vulnerability. This rating does not take into account the actual impact on your business. Your organization will have to decide how much security risk from applications and APIs the organization is willin

OWASPとは？ OWASP（オワスプ）とは、「Open Web Application Security Project（国際ウェブセキュリティ標準機構」の略で、ソフトウェアのセキュリティ向上を目的とする非営利財団です。 Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベント開催等の多岐に渡る活動を行っています。また、世界中に275以上の支部が存在し、日本にも「OWASP Japan」が存在します。 OWASP Top 10とは？ OWASP Top 10とは、先述の「OWASP」がWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された項目をまとめ、定期的（2~3年周期）に発行しているセキュリティレポートになります。 現在公開されている最新版は2017年に発表された「OWASP Top 10 2017」となります。 OWASP Top 10では、以下に示すOWASP Risk Rating Methodologyに基づいた格付け手法により評価し、リスクの高さを可視化して危険度の高い10項目の脆弱性を整理しています。 本記事内容に関する出典・参考：OWASP_Top_10-2017(ja).pdf また、「攻撃シナリオの例」、「防御方法」、「参考資料」などの具体的な情報を得ることもできます。 OWASP Top 10 – 2017 2017年11月より公開中のアプリケーションセキュリティリスク（OWASP Top 10）は以下の項目になります。 インジェクション（Injection） 認証の不備（Broken Authentication） 機微な情報の露出（Sensitive Data Exposure） XML外部実態参照（XML External Entities XEE） アクセス制御の不備（Broken Access Control） 不適切なセキュリティ設定（Security Misconfiguration） クロスサイトスクリプティング（Cross-Site Scripting XSS） 安全でないデシリアライゼーション（Insecure Deserialization） 既知の脆弱性のあるコンポ

脅威エージェント / 攻撃ベクトル セキュリティ弱点 影響 API固有：悪用可能性 容易 普及度 一般的：検出可能性 平均 技術的 深刻：特定のビジネスに依存 この問題を悪用するには、攻撃者が対象APIが統合している他のAPIやサービスを特定し、その後侵害する必要があります。通常、この情報は公に利用可能ではないか、統合されたAPIやサービスが容易に悪用可能ではありません。 開発者は、外部または第三者のAPIとやり取りするエンドポイントを信頼し、検証しない傾向があります。これには、輸送セキュリティ、認証/認可、および入力の検証およびサニタイズに関するより弱いセキュリティ要件が含まれます。攻撃者は、対象APIが統合しているサービス（データソース）を特定し、最終的にはそれらを侵害する必要があります。 影響は、対象APIが引き出したデータをどのように処理するかによって異なります。攻撃が成功すると、権限のないアクターに対して機密情報が露出したり、多種多様なインジェクションまたはサービス妨害が発生する可能性があります。 APIは脆弱ですか？ 開発者は、ユーザー入力よりも第三者APIから受け取ったデータを信頼する傾向があります。これは特によく知られた企業によって提供されるAPIに関して当てはまります。そのため、開発者は入力の検証およびサニタイズに関して、より弱いセキュリティ基準を採用する傾向があります。 APIが脆弱である可能性があるのは以下の場合です： 他のAPIと暗号化されていないチャネルでやり取りしている場合； 他のAPIから収集したデータを適切に検証およびサニタイズせずに処理するか、下流のコンポーネントに渡す場合； リダイレクトを無条件に追跡する場合； 第三者サービスのレスポンスを処理するためのリソース数を制限していない場合； 第三者サービスとの相互作用にタイムアウトを実装していない場合。 攻撃シナリオの例 シナリオ #1 あるAPIは、ユーザーが提供したビジネスアドレスを豊かにするために第三者サービスに依存しています。エンドユーザーがAPIにアドレスを供給すると、それが第三者サービスに送信され、返されたデータがローカルのSQL対応データベースに保存されます。 悪意のあるアクターは、第三者サービスを使用して、自分が作成したビジネスに関連するSQLiペイロードを格納します

脅威エージェント / 攻撃ベクトル セキュリティ弱点 影響 API固有：悪用可能性 容易 普及度 一般的：検出可能性 平均 技術的 中程度：特定のビジネスに依存 脅威エージェントは、古いAPIバージョンやパッチが当てられていないエンドポイントを通じて未承認のアクセスを取得する場合があります。また、一部のケースでは攻撃手段が利用可能です。または、データを共有する理由がない第三者からアクセスされる場合もあります。 古いドキュメントでは脆弱性を見つけることが難しく、修正することが難しくなります。資産の在庫と退役戦略の欠如により、未パッチのシステムで実行され、機密データの漏洩が発生する可能性があります。モダンな概念（例：マイクロサービス、クラウドコンピューティング、K8S）により、不必要にさらされたAPIホストを見つけることが一般的です。シンプルなGoogle Dorking、DNS列挙、またはさまざまな種類のサーバー（ウェブカメラ、ルーター、サーバーなど）をインターネットに接続している専門の検索エンジンを使用することで、攻撃対象を発見できます。 攻撃者は機密データにアクセスしたり、サーバーを乗っ取ったりすることができます。時には異なるAPIバージョンや展開が同じデータベースに接続されて実データを取得することがあります。脅威エージェントは、古いAPIバージョンに存在する廃止されたエンドポイントを利用して管理機能にアクセスしたり、既知の脆弱性を悪用したりすることがあります。 APIは脆弱ですか？ APIと現代のアプリケーションの広がりと接続された性質は新たな課題をもたらします。組織は自身のAPIおよびAPIエンドポイントの理解と可視性だけでなく、APIがデータをどのように外部の第三者と共有または保存しているかについても理解することが重要です。 複数のAPIバージョンを実行する場合、APIプロバイダーからの追加管理リソースが必要であり、攻撃面を広げる可能性があります。 APIには「ドキュメントの盲点」がありますか： APIホストの目的が不明確であり、以下の質問に明確な回答がない場合 APIが実行されている環境（例：本番、ステージング、テスト、開発）はどれですか？ APIにネットワークアクセスを持つべきユーザー（例：公開、内部、パートナー）は誰ですか？ どのAPIバージョンが実