Apps maken een groot deel uit van ons leven, we gebruiken ze elke dag. Zelfs als we werken, gebruiken we bedrijfsapplicaties. Maar weet je welke software er achter deze applicaties zit en wat API-beveiliging inhoudt?
Waar staat API voor?
API staat voor Application Programming Interface. Hiermee kunnen softwaretoepassingen met elkaar communiceren. Een API kan ook een verbinding tussen computers of tussen computerprogramma’s zijn. Het geeft applicaties toegang tot gegevens en interactie met externe softwarecomponenten, microservices of besturingssystemen. Telkens wanneer je Facebook gebruikt of het weer op je telefoon bekijkt, gebruik je de software-interface.API’s bieden een service aan andere stukken software. Een API-specificatie is een document of standaard die beschrijft hoe een verbinding of interface gebouwd of gebruikt moet worden. Als een computersysteem aan deze standaard voldoet, wordt er gezegd dat het een API implementeert of exposeert. Een API geeft een lijst van operaties die ontwikkelaars kunnen gebruiken, samen met een beschrijving van wat de API’s doen. Ontwikkelaars kunnen hun eigen gegevens aan de API verstrekken om resultaten te krijgen. De “Toepassing” in API verwijst naar software met een afzonderlijke functie. “Interface” verwijst naar een servicecontract tussen twee verschillende applicaties. Dit definieert hoe de twee applicaties met elkaar communiceren door middel van verzoeken en reacties.
Waar worden API’s voor gebruikt?
Een API verbindt computers of andere stukken software met elkaar. Het is niet bedoeld om direct door een persoon gebruikt te worden. API ās bestaan vaak uit verschillende ouders die fungeren als services of hulpmiddelen die beschikbaar zijn voor een programmeur. Wanneer een ontwikkelaar een van deze onderdelen gebruikt, wordt gezegd dat hij dat deel van de API aanroept. Deze aanroepen staan ook bekend als subroutines, verzoeken, methoden of eindpunten. Ze worden gedefinieerd door een API specificatie, wat betekent dat wordt uitgelegd hoe ze gebruikt of geĆÆmplementeerd moeten worden.APIā s verbergen interne details van hoe een systeem werkt. Hierdoor worden alleen die delen onthuld die een ontwikkelaar nuttig vindt. Een API kan op maat gemaakt zijn voor bepaalde systemen of het kan een gedeelde standaard zijn.Met API ās kunnen ontwikkelaars voordeel halen uit de implementatie van een platform. Hierdoor hoeven ontwikkelaars minder code te maken. Het helpt ook om meer consistentie tussen apps te creĆ«ren en regelt de toegang tot hardware- en softwarebronnen.De termā microservices āduikt regelmatig op in verband met APIā s. Ze zijn een architectuurstijl die API ās verdeelt over verschillende platforms. Het is een architectuurstijl die functionaliteit binnen een webapplicatie verdeelt. Microservices kunnen APIā s gebruiken om met elkaar te communiceren.
Wat is JSON?
Om informatie te verzenden of te ontvangen, kunnen ontwikkelaars een specifieke oproep of aanvraag doen. Bij de meeste moderne API’s gebeurt dit meestal met een programmeertaal die “JSON” heet. Het kan ook worden gebruikt om gegevens bij te werken of te verwijderen. JSON staat voor JavaScript Object Notation en wordt gebruikt om gegevens op een server weer te geven. Het is vrij eenvoudig te lezen door mensen en eenvoudig te begrijpen voor computers.
Wat is een API-verzoek?
Het eindpunt, de header, de methode en de gegevens zijn allemaal onderdelen van het API-verzoek. Deze componenten zijn nodig om goed te kunnen functioneren.
Eindpunt
Endpoints hebben twee belangrijke onderdelen die worden gebruikt bij het doen van een API-verzoek, Ć©Ć©n daarvan is de URL. Het tweede deel is het pad. Dit is afhankelijk van wat je probeert te bereiken. Als je deze twee delen samenvoegt, krijg je een compleet endpoint.
Kop
Een header geeft informatie aan de client en de server. Voorbeelden van headers zijn authenticatiegegevens zoals een āAuth Tokenā of āClient IDā. Deze authenticatiegegevens krijg je automatisch wanneer je een API-account aanmaakt. Een andere veel voorkomende header is de āContent-Typeā header. Deze informeert de server over het type inhoud dat wordt verzonden. Een voorbeeld van een veelgebruikt inhoudstype is āapplication/JSONā. Dit laat de server weten dat we JSON-gegevens versturen.
Methode
Deze methoden zijn acties die worden ondernomen bij het verzenden van een verzoek:
- Get: verzamelt informatie
- Put: stukken gegevens bijwerken of aanmaken
- Plaats: creƫert
- Verwijderen: verwijdert
Gegevens
Gegevens, ook wel ābodyā genoemd, is informatie die wordt verzonden naar of teruggestuurd door een server. De body van een verzoek vereist soms specifieke informatie voordat het kan worden afgeleverd.
Hoe werken API’s?
API-architectuur verwijst meestal naar de communicatie tussen de client en de server. De toepassing die het verzoek verstuurt, wordt de client genoemd. De toepassing die het antwoord verstuurt, wordt de server genoemd. Dit is hoe API’s werken:
- De clientapplicatie initieert een API-aanroep om informatie op te halen. Dit wordt ook wel een verzoek genoemd. Het verzoek van de applicatie wordt verwerkt naar de webserver.
- De API doet een oproep naar het externe programma of de webserver na ontvangst van een geldig verzoek.
- De server stuurt dan een antwoord naar de API met de informatie die de clientapplicatie heeft aangevraagd.
- Tot slot stuurt de API de gegevens door naar de clienttoepassing die de gegevens aanvankelijk aanvroeg.
De gegevensoverdracht verschilt afhankelijk van de webservice die je gebruikt. Dit proces van verzoeken en reacties gebeurt allemaal via een API. API ās zijn ontworpen om door computers te worden gebruikt. Ze vereenvoudigen de ontwikkeling van apps, besparen tijd en geld, geven flexibiliteit en vereenvoudigen ontwerp, beheer, gebruik en innovatie.APIā s maken de integratie van nieuwe applicatiecomponenten in bestaande architectuur eenvoudiger. Ze helpen bedrijfs- en IT-teams om samen te werken. Bedrijven moeten snel reageren om concurrerend te blijven. Cloud-native applicatieontwikkeling kan worden gebruikt om de ontwikkelingssnelheid te verhogen. API ās bieden veiligheid omdat ze ontworpen zijn als tussenpersoon tussen twee systemen. Dit betekent dat de gebruikende applicatie gescheiden is van de infrastructuur die de service levert. API-oproepen bevatten meestal ook autorisatiegegevens die het risico op aanvallen verkleinen. Tijdens het uitwisselingsproces zorgen HTTP headers, cookies of query string parameters voor extra beveiligingslagen. Kortom, APIā s geven je toegang tot je bronnen terwijl je de beveiliging en controle behoudt. Je kunt kiezen hoe je toegang verleent en aan wie. Meer over API beveiliging volgt verderop in dit artikel.
Waarom hebben we API’s nodig?
Je kunt een API gebruiken wanneer je bestaande tools beheert of nieuwe ontwerpt, om het proces te vereenvoudigen. API’s kunnen consumenten ook helpen om gemakkelijk producten te vinden, e-commercemerken te laten groeien en het verdienpotentieel uit te breiden door producten op online marktplaatsen te verkopen. Ze hebben nog veel meer voordelen.
Verbeterde samenwerking
Een gemiddeld bedrijf gebruikt ongeveer 1000 cloudapplicaties. Op deze manier kunnen bedrijven workflows automatiseren en de samenwerking op de werkplek verbeteren.
Gemakkelijker innoveren
API’s bieden flexibiliteit om verbindingen te leggen met nieuwe zakelijke partners, nieuwe diensten aan te bieden en toegang te krijgen tot nieuwe markten om meer winst te genereren en digitale transformatie te stimuleren.
Gegevens te gelde maken
Veel bedrijven kiezen ervoor om hun API’s in eerste instantie gratis aan te bieden, zodat ze een publiek van ontwikkelaars kunnen opbouwen en relaties kunnen aangaan met potentiĆ«le zakenpartners. Wanneer de API toegang geeft tot waardevolle digitale activa, kun je deze te gelde maken door toegang te verkopen.
API-beveiliging
API’s creĆ«ren een extra beveiligingslaag tussen jouw gegevens en een server. Wanneer je API’s gebruikt, stuur je kleine hoeveelheden informatie die de API levert. Vervolgens stuurt de server het terug. Op deze manier ben je niet direct verbonden met een server en wordt het risico op een inbreuk geminimaliseerd.Ontwikkelaars kunnen hun API-beveiliging ook verder versterken. API’s spelen vaak een grote rol in de beveiliging. Ze worden gebruikt om de toegang te regelen tot hardware-apparaten en software-apparaten waartoe een applicatie mogelijk geen toegang heeft. Een voorbeeld hiervan is de geolocatie-API die vraagt om je exacte locatie te zien wanneer je een website bezoekt.
Snelheid
Met API’s is alles gemakkelijk en snel. In plaats van naar een winkel te moeten gaan of ze op te bellen, kun je eenvoudig zien wat een product is, wat de prijs is en wat de voorraad is. API’s maken het leven van ontwikkelaars ook gemakkelijker. Elk besturingssysteem heeft standaard API’s die ontwikkelaars kunnen gebruiken voor hun apps. Dit is sneller en kostenefficiĆ«nter.
Schaalbaarheid
Je kunt je online winkel sneller laten groeien omdat je geen nieuwe code hoeft aan te maken voor het uitbreiden van je catalogus, beveiliging of gegevensbehoeften.
Voorbeelden van API’s die we in ons dagelijks leven gebruiken
Het is moeilijk om API’s te begrijpen zonder voorbeelden, dus hebben we een aantal voorbeelden samengesteld van API’s die je dagelijks gebruikt. API’s kunnen op veel verschillende manieren worden gebruikt.
Universele aanmeldingen
Universal logins of inloggen met behulp van XYZ is een populair API-voorbeeld waarmee mensen kunnen inloggen op websites door de inloggegevens van hun Facebook-, Twitter-, Github- of Google-profiel te gebruiken. Met deze API kan elke website de gebruiker snel authenticeren. Toepassingen met deze API loggen niet echt in op de sociale media-accounts van de gebruikers. Dit bespaart hen de tijd en moeite van het opzetten van een nieuwe account voor elke nieuwe websitebezoeker.
Verwerking van betalingen door derden
Met deze API kunnen mensen online betalen zonder gevoelige gegevens bloot te geven of toegang te verlenen aan onbevoegde personen. Een voorbeeld van deze API is de āBetalen met PayPalā functionaliteit. Net als de universele login API, is deze API gebouwd om ervoor te zorgen dat de applicatie alleen kan doen wat nodig is. Het werkt op dezelfde manier als het inlogproces van de log-in API. De applicatie stuurt een verzoek naar de PayPal API voor het specifieke verschuldigde bedrag. Uiteindelijk wordt de gebruiker door een pop-up geverifieerd, wordt de aankoop bevestigd en stuurt de API een bevestiging van de betaling terug naar de applicatie.
Vergelijking van reisboekingen
Reisboekingssites gebruiken API ās om informatie over de beschikbaarheid van vluchten en hotels te verzamelen van aanbieders om de goedkoopste optie te laten zien. Ze gebruiken ook APIā s om de reis te bevestigen bij de aanbieder via wie je hebt geboekt. Dit automatiseert de uitwisseling van gegevens en verzoeken en vermindert de tijd en moeite die het kost om te controleren of er beschikbare vluchten of accommodaties zijn.
Google-kaarten
De Google Maps service is een van de meest voorkomende voorbeelden van een goede API. Het gebruikt niet alleen een API die statische of interactieve kaarten weergeeft. Het gebruikt ook andere API’s om gebruikers te voorzien van routebeschrijvingen of nuttige plaatsen. Door middel van geolocatie en meerdere gegevenslagen kun je met de API communiceren bij het plannen van reisroutes of het volgen van rijdende voertuigen. Je kunt bedrijfsuren, beoordelingen of contactgegevens bekijken.
Twitter bots
There is a huge range of bots on Twitter. These bots are accounts that automatically tweet, retweet, follow, and send direct messages based on software instructions. There are Twitter bots that send hourly reminders, bots that identify grammar mistakes, and bots that tweet when new content is released on Netflix. These bots are all powered by the Twitter API.
Weather snippets
The most common API we use every day is the weather snippets. These weather snippets can be found on all platforms like Google Search, Appleās Weather app, or even from smart home devices. Using this API you will be able to see the current weather conditions and forecast.
E-commerce
E-commerce APIs are used for the act of conducting commercial transactions like buying and selling products online. In this category, there are product information APIs, site search APIs, payment APIs, shipping APIs, and currency conversion APIs.These interfaces are all used to gather data or make calculations during the buying process. Microservice architecture is also very important to encapsulate functionality into separate, independently deployable services. These microservices come together in a single application via APIs.
The history of APIs
When we are talking about APIs, we are most likely referring to web APIs or APIs built using REST. Web APIs have a relatively brief history and they are behind almost every aspect of how we do business online. When we refer to web APIs, we almost always refer to our modern approach.This means using HTTP to provide access to machine-readable data in a JSON or XML format (these are used to share data within the programming languages of operating systems). Companies like eBay, Amazon, and Salesforce have helped to define the web APIs we know and love today.
A commercial start
APIs were invented to change the way we do business on the web. This started a movement to make products and services available to customers via a single website. And developers started to automate the commerce that was powering the web. This period of time was dominated by three big players: eBay, Amazon, and Salesforce. These companies still continue to shape the world of APIs.Web APIs started to appear in the wild with the introduction of Salesforce on February 7th, when they officially launched their API at the IDG Demo 2000 conference. They introduced their enterprise-class, web-based, Salesforce automation as an āInternet as a serviceā, with XML APIs.Later on November 20th, 2020, eBay launched the eBay API along with the eBay Developers Program. These were originally only rolled out to a select number of partners and developers. Now itās used for all goods sold on the web.Then on July 16th, 2002, Amazon launched its Amazon.com Web Service. This allowed developers to use Amazon.com content and features for their own websites. This way, third-party sites can search and display products from Amazon.com in an XML format.This development didnāt quite gain the momentum yet that we see today. Perhaps things werenāt quite ready. APIs only started to get traction when things got social.
The social web
In 2004, a new breed of API providers started to show up. This new group of providers changed how we use the web to share information with the people around us, both virtually and in the real world. These APIs werenāt directly linked to commercial value but they provided value to their organizations. They became lucrative platforms down the road.In 2003, Delicious, a new service for storing, sharing, and discovering web bookmarks emerged. It allowed people to view these bookmarks via a web interface. If you changed the extension from ā.htmlā to ā.xmlā you would receive a machine-readable list of your bookmarks and developers took advantage of this. They built widgets and other embeddable features for social media.Then in 2004, Flickr was launched. They are a popular photo-sharing site. Six months after their official start, they launched their API. They became the image platform of choice for early blogging and social media movements because of their RESTful API. Users can easily embed their photos into blogs and social network streams.In 2006, Facebook launched its platform and API. This allowed developers to access Facebook usersā friends, events, photos, events, and profile information. It helped Facebook become one of the most popular social networks to date.One month later, Twitter introduced its own API in response to developers scraping content and data from the platform. Twitter incorporates APIs in almost every feature on the platform, from its mobile application to the share button.By 2010, social media had overtaken the population. APIs were intertwined in our personal lives and our professional lives. Facebook and Twitter dominated this API time period and they set the stage for a new generation of social influence powered by APIs. At the same time, Google also started to explore the power of web APIs. They launched the Google Maps API because many people were hacking the application.
De wolk
API’s werden al gebruikt voor tal van commerciĆ«le doeleinden. Maar Amazon bracht API’s echt naar een hoger niveau. Het werd het model voor de volgende generatie bedrijven. Amazon zag het potentieel van een RESTful benadering en zag API’s op een manier die niemand eerder had gezien. Dit zorgde voor een verschuiving om de focus te leggen op API’s in de hele organisatie. Dit betekende dat alle gedeelde bronnen een API moesten hebben. Uiteindelijk leidde dit tot de creatie van twee nieuwe Amazon Web Services. Deze web services zijn iets heel anders dan de Amazon e-commerce site die we kennen. De eerste webservice heette Amazon S3. Het bood een eenvoudige interface om elke hoeveelheid gegevens op te halen, op elk moment, vanaf elke locatie. Het geeft ontwikkelaars toegang tot de schaalbare, betrouwbare, snelle en goedkope infrastructuur voor gegevensopslag van Amazon. Kort daarna lanceerde Amazon zijn nieuwe cloud computing service genaamd Amazon EC2. Deze biedt aanpasbare rekencapaciteit in de cloud. Op deze manier kunnen ontwikkelaars virtuele servers van verschillende groottes lanceren binnen Amazon datacenters.Cloud computing bracht web API’s naar een hoger niveau. Dit zou onze wereld beĆÆnvloeden op manieren die we ons nooit hadden kunnen voorstellen.
Mobiel
Terwijl iedereen zich concentreerde op sociale media en de cloud, lanceerde Apple de iPhone. Dit nieuwe apparaat zou een game-changer blijken te zijn. Het veranderde de manier waarop we ons bezighielden met mobiele telefoons en de online wereld. Google reageerde op Apple door het open-source mobiele platform Android te lanceren. Dit opende een hele nieuwe wereld van mogelijkheden waar API ās de drijvende kracht achter zouden zijn. Bedrijven als Google Maps, Foursquare, Instagram en Twilio stonden in de voorhoede van deze mobiele API-revolutie. Voor deze nieuwe mobiele toepassingen werden nieuwe APIā s gemaakt. Deze mobiele evolutie maakte web-API ās tot wat ze nu zijn. Mobiel heeft het web in onze zakken gestopt, waardoor we fotoā s kunnen maken, video ās kunnen opnemen en verhalen kunnen delen.We kunnen veel leren van de geschiedenis van moderne web APIā s om een revolutie op het gebied van API ās te blijven veroorzaken. APIā s worden ook gebruikt in met de cloud verbonden apparaten zoals Fitbit, Google ās Nest en Amazonā s Alexa.
Verschillende soorten API’s
API’s kunnen verschillend werken, afhankelijk van wanneer en waarom ze zijn gemaakt. Daarom zijn er veel verschillende soorten API’s. De meeste API’s zijn web-API’s. Hier zijn vier hoofdtypen van web API’s:
Open API’s
Dit zijn open-source Application Programming Interfaces die je kunt benaderen met het HTTP-protocol. Ze staan ook bekend als publieke API’s met API endpoints en verzoek- en antwoordformaten.
API’s voor partners
Dit zijn Application Programming Interfaces die worden aangeboden aan of door strategische zakenpartners. Ontwikkelaars hebben toegang tot deze API ās in self-service modus via openbare API-ontwikkelaarsportalen. Ze moeten een inwerkproces doorlopen en inloggegevens krijgen om toegang te krijgen tot partner-APIā s.
Interne API ās of privĆ©-APIā s
Dit zijn Application Programming Interfaces die verborgen zijn voor externe gebruikers. Ze staan ook bekend als privĆ©-API ās omdat ze niet beschikbaar zijn voor gebruikers buiten het bedrijf. Deze APIā s zijn bedoeld om de productiviteit en communicatie tussen verschillende interne ontwikkelingsteams te verbeteren.
Samengestelde API’s
Samengestelde API ās combineren service-APIā s met meerdere gegevens. Met deze API ās hebben ontwikkelaars toegang tot meerdere endpoints in Ć©Ć©n enkele aanroep. Samengestelde APIā s zijn nuttig in een microservicesarchitectuur om informatie uit verschillende bronnen te verzamelen.
Verschillende soorten API-protocollen
Bepaalde protocollen zijn ontwikkeld om gebruikers te voorzien van vooraf gedefinieerde regels die de geaccepteerde gegevenstypen en commando’s specificeren. Deze verschillende soorten API-protocollen faciliteren gestandaardiseerde gegevensuitwisseling:
SOAP API’s
SOAP staat voor Simple Object Access Protocol. Dit betekent dat de client en server berichten uitwisselen met behulp van XML. Deze API is niet erg flexibel en was in het verleden populairder.
RPC API’s
RPC staat voor Remote Procedure Calls. De client voert een functie uit en de server stuurt de uitvoer terug. Dit protocol kan JSON- en XML-formaten gebruiken om gegevens over te dragen.
REST API’s
REST staat voor Representational State Transfer. Het is een verzameling van web API-architectuurprincipes en heeft geen officiĆ«le standaarden. Dit zijn de meest flexibele en populaire API ās. De client stuurt verzoeken als gegevens naar de server en de server gebruikt deze invoer om interne functies te starten. Uiteindelijk stuurt hij de uitvoergegevens terug naar de client. RESTful APIā s kunnen ook gebouwd worden met SOAP protocollen, maar de twee standaarden zijn meestal concurrerende specificaties.
Websocket API’s
Websockets API ās gebruiken JSON-objecten om gegevens door te geven. Ze ondersteunen tweewegcommunicatie tussen client-apps en de server. Dit is efficiĆ«nter dan REST APIā s omdat de server callbackberichten kan sturen naar verbonden clients.
Het verschil tussen REST API ās en web APIā s
Rest API’s zijn een speciaal soort web API die een standaard architectuurstijl gebruiken. Moderne web-API’s zijn REST-API’s. Je kunt deze termen door elkaar gebruiken.
API-beveiliging
API-beveiliging is het proces van het beschermen van API’s tegen cyberaanvallen. API’s bieden toegang tot gevoelige softwarefuncties en gegevens, waardoor ze een primair doelwit vormen voor hackers. API-beveiliging is cruciaal wanneer u een openbare API ontwikkelt. SQL-injectie, verbroken authenticatie, Denial-of-service-aanvallen (DoS) en het blootleggen van gevoelige gegevens kunnen gevaarlijke bedreigingen zijn voor API’s. Bedreigingen kunnen kwetsbaarheden in je API-beveiliging gebruiken om toegang te krijgen tot je gegevens. Je kunt deze kwetsbaarheden aanpakken door best practices te gebruiken.
Waarom zijn API endpoints belangrijk?
Eindpunten zijn de laatste contactpunten van het API-communicatiesysteem. Hieronder vallen server URL’s, services en andere specifieke digitale locaties die gegevens verzenden en ontvangen tussen systemen. API endpoints zijn cruciaal voor API beveiliging omdat ze het systeem kwetsbaar maken voor aanvallen.
OWASP API-beveiliging
Het Open Web Application Security Project (OWASP) is een non-profitorganisatie die elke drie tot vier jaar een lijst met kwetsbaarheden in webapplicaties publiceert. Deze OWASP top 10 maakt mensen bewust van de ernstigste problemen met de beveiliging van API’s.
Gebroken autorisatie op objectniveau
Functies die gebruikersinvoer accepteren en gebruiken om toegang te krijgen tot een gegevensbron kunnen problemen met toegangscontrole op niveau veroorzaken. Dit maakt het aanvalsoppervlak groter. Je moet autorisatiecontroles op objectniveau uitvoeren voor dit soort functies.
Gebroken gebruikersauthenticatie
Hackers maken vaak misbruik van onjuist toegepaste authenticatiemechanismen. Ze kunnen een authenticatietoken compromitteren of fouten in de implementatie misbruiken om zich voor te doen als een andere gebruiker. Als API’s de gebruiker niet kunnen identificeren, zal dit de algemene beveiliging van de API in gevaar brengen.
Overmatige blootstelling aan gegevens
Gegevens moeten aan de serverkant worden gefilterd. Ontwikkelaars maken vaak de fout om te vertrouwen op de clientside om de gegevens te filteren voordat ze aan de gebruiker worden getoond. Dit kan ernstige beveiligingsproblemen veroorzaken. Het is een goede gewoonte om de relevante gegevens aan de client te leveren.
Gebrek aan middelen en snelheidsbeperking
Geen beperkingen op het aantal of de grootte van de bronnen die de client kan aanvragen, kan de prestaties van de API-server beĆÆnvloeden. Dit kan resulteren in een Denial of Service (DoS) aanval of het kan authenticatie kwetsbaarheden blootleggen die brute force aanvallen mogelijk maken.
Gebroken autorisatie op functieniveau
Een te complex toegangscontrolebeleid en geen duidelijke scheiding tussen reguliere en administratieve functies kan leiden tot autorisatiefouten. Hackers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen tot de bronnen van een gebruiker of om administratieve functies uit te voeren.
Massatoewijzing
Het binden van door de klant geleverde gegevens aan een datamodel op basis van een toegestane lijst zonder de juiste filtering van eigenschappen kan massale toewijzing veroorzaken. Hackers kunnen objecteigenschappen wijzigen door API endpoints te verkennen, de documentatie te lezen, objecteigenschappen te raden of aanvullende eigenschappen te leveren via payloads van verzoeken.
Verkeerde configuratie van beveiliging
Misconfiguratie van beveiliging kan het gevolg zijn van zaken als inadequate standaardconfiguraties, ad-hoc- of onvolledige configuraties, verkeerd geconfigureerde HTTP-headers of onjuiste HTTP-methodes, en nog veel meer.
Injectie
Bij injectiefouten zoals SQL-injectie, NoSQL-injectie en commando-injectie worden gegevens vanuit een niet-vertrouwde bron via een opdracht of query naar een interpreter gestuurd.
Onjuist activabeheer
API’s stellen meer eindpunten bloot dan traditionele webapplicaties en vereisen daarom gestructureerde up-to-date documentatie. Blootgestelde debug endpoints en verouderde API-versies kunnen het aanvalsoppervlak vergroten. Het maken van een inventarisatie van uitgerolde API-versies en juist geconfigureerde hosts kan dit probleem beperken.
Onvoldoende logging en bewaking
Hackers kunnen misbruik maken van je ontoereikende logging en monitoring of je gebrekkige incident response integratie.
Beste praktijken
Kwetsbaarheden identificeren
Om API ās effectief te beveiligen, moet je begrijpen welke delen van de API-levenscyclus onveilig zijn. Dit is niet altijd eenvoudig, vooral niet als uw organisatie een groot aantal APIā s heeft. Het is onpraktisch om alle fasen van de API-levenscyclus in beschouwing te nemen, van planning tot ontwikkeling, testen, staging en productie.
OAuth gebruiken
Toegangscontrole voor authenticatie en autorisatie is een van de belangrijkste aspecten van API-beveiliging. Een hulpmiddel om API-toegang te controleren is OAuth, een op token gebaseerd authenticatieraamwerk. Met OAuth kunnen services van derden toegang krijgen tot informatie zonder gebruikersgegevens vrij te geven.
Gegevens coderen
Alle gegevens die door een API worden beheerd, met name persoonlijke informatie of andere gevoelige gegevens, moeten worden versleuteld. Hiervoor zijn handtekeningen nodig om ervoor te zorgen dat alleen geautoriseerde gebruikers de door je API geleverde gegevens kunnen ontsleutelen en wijzigen.
Snelheidsbeperking en throttling gebruiken
Hoe populairder API ās worden, hoe waardevoller ze worden voor aanvallers. APIā s zijn een belangrijk doelwit voor DoS-aanvallen (Denial of Service). Het is een goed idee om snelheidslimieten in te stellen voor de methode en frequentie van API-aanroepen om deze aanvallen te voorkomen. Dit beschermt tegen piekverkeer dat de prestaties en beveiliging beĆÆnvloedt. Het kan ook de toegang en beschikbaarheid in balans brengen door gebruikersverbindingen te reguleren.
Een servicenetwerk gebruiken
Service mesh-technologie past verschillende beheer- en controlelagen toe bij het routeren van verzoeken van de ene service naar de andere. Dit optimaliseert de manier waarop deze bewegende delen samenwerken met correcte authenticatie, toegangscontrole en andere beveiligingsmaatregelen.
Een zero-trust filosofie aannemen
Bedreigingen van binnenuit komen steeds vaker voor en legitieme gebruikers maken vaak verbinding van buiten de netwerkperimeter. Dit maakt alles ingewikkelder. Zero-trust verlegt de beveiligingsfocus van locatie naar specifieke gebruikers, bedrijfsmiddelen en bronnen. Het zorgt ervoor dat API’s altijd gebruikers en applicaties authenticeren, privileges geven in overeenstemming met je rol en afwijkend gedrag monitoren.
Je API’s testen
Er zijn veel manieren om de beveiliging van je API te testen. Je kunt je applicatie testen op kwetsbaarheden door handmatige testmethoden te gebruiken.
Jimber oplossing
Web Application Isolation
Jimber werkt door veel van deze API-beveiligingsbest practices toe te passen op onze oplossingen. De Jimber Web Application Isolation is een API-beveiligingsoplossing die zero-trust technologie gebruikt om je bedrijfsapplicaties te beschermen met behulp van een container. Je gegevens worden geĆÆnterpreteerd in de container en alleen de grafische visualisatie van die gegevens bereikt de eindgebruiker. Aanvallers kunnen alleen communiceren met de Jimber-laag, maar niet meer rechtstreeks met de API’s van de applicatie. Onze Web Application Isolation voldoet aan de hoogste eisen en garandeert de veiligheid van websites.
De Jimber Web Application Isolation vermindert veel van de OWASP top tien 2021 kwetsbaarheden door de API’s niet direct bloot te stellen. Houd in gedachten dat Jimber Web Application Isolation bovenop je huidige beveiligingsmaatregelen komt. Het kan niet alle mogelijke kwetsbaarheden tegenhouden. Het versterkt echter alle bestaande beveiligingsmaatregelen en biedt een sterke laag extra bescherming.Meer informatie over onze Web Application Isolation.Vind hier meer API-beveiligingsbronnen: https://www.techtarget.com/searchapparchitecture/definition/API-securityOtheronderwerpen die je wellicht interesseren:De OWASP top tien 2021Deransomware-aanval: wat het is en hoe het werktWatis malware?
