🌍API Security Fundamentals 2025
Las preguntas con sus respuestas correctas siempre estarán dadas por Correct answer. justo arriba de eso.
Question 1
Why are APIs considered a popular target for attackers?
They are expensive to maintain.
They are often hidden and rarely monitored.
They expose data and logic flaws, and are often have over-permissioned.
Correct answer.
They are required for regulatory compliance.
Question 2
What is true of web/mobile application APIs?
They can be discovered even if they're not documented
Correct answer.
Are secure from abuse if applications encrypt communication
Are only used by developers
Web/mobile applications should never use APIs since they can be exploited
Question 3
What PCI DSS standard emphasizes API security, including identifying business logic abuse?
PCI DSS 3.5
PCI DSS 4.0
Correct answer.
PCI DSS 2023
PCI DSS 5.1
Question 4
What is one method attackers use to find APIs in applications?
Phishing campaigns
Using pre-configured malware
Hacking the backend database
Inspecting network traffic in the browser’s developer tools
Correct answer.
Question 5
What makes API security testing critical?
Cross-site scripting
Injection
Business logic flaws
Correct answer.
Lack of endpoint authenticationOwasp API Security TOP 10 - 2023 Version
API1: Broken object level authorization: peloton, coinbase
API2: Broken Authentication: un ejemplo de esta fue el ataque a Duolingo por una api fallida en su authentication.
API3: Broken Object Property Level Authorization: es Cuando podemos manipular los objects data de la API para lograr beneficios, por ejm manipular la API para ganar y pasar de ser USER Free a USER PREMIUM.
API4: Unrestricted Resource Consumption “consumo de resourc.. sin restricciones”: Los rate limits mal establecidos para que te hagas una idea felipe, hubo un massive data breach a TRELLO la compañia por una api mal expuesta la cual se podia consultar sobre un correo y devolvia la info de ese email, bueno buscaron millones de correos y los enviaron consecutivos a la api y pudieron extraer millones de datos de muchos users registrados a trello.
API5: Broken Function Level Authorization: Es parecido a API1 pero centrado a funciones, funcionalidades para explotar y escalar, cambiando metodos HTTP, actualizando esos valores, etc, asi paso con BUMBLE todo porque se expuso una funcionalidad de la API la cual estaba expuesta al user final.
API6: Unrestricted Access to Sensitive Business Flows: y va de la mano a Business Logic, pudiendo manipular el flujo logico del negocio de una forma inesperada con el fin de poder obtener un resultado certero, y pasa precisamente porque los desarrolladores, no tienen en cuenta a veces ciertos comportamientos necesarios en el despliegue de la app, api, etc.
API7: Server Side Request Forgery:
API8: Server Security Misconfiguration: lo de siempre buenas practicas, HTTPS, CSP, WAF, RATE LIMITS, CORST, NO Revelar Stack traces. etc..
API: Improper Inventory Management: no tener un control adecuado sobre los activos relacionados con la API. Esto incluye versiones, endpoints, entornos, y servicios externos conectados.
API10: Unsafe Consumption of APIs: Cuando una aplicación cliente consume APIs externas sin validar ni filtrar correctamente las respuestas, confiando ciegamente en que esas APIs externas son seguras, están bien configuradas y nunca se comportarán mal.
Quiz:
API Attack Analysis
A los atacantes les puede tomar meses exfiltrar millones de datos mientras que a la compañia le tomara una semana poder corregir el rate limit y parchearlo.
Why API Security?
Pero la pregunta real a hacerse es: How important is it?
De esta forma mediante este planteamiento empezamos a discernir sobre los factores claves e importantes que debemos tener en la API de la organizacion priorizando seguridad por encima de todo.
Threat Modeling:
Se puede empezar preguntandose, ¿what do you have that the Attackers want? vital y clave para poder seguir.
Con este modelo/tabla empezamos a poder definir de una forma tecnica y clara el que tan importante y que nivel de prioridad debamoso dar a la amenaza que tengamos presente y de esta forma lanzamos prioridades de las mas graves a las menos todo en pro a solucionar o sanitizar nuestra API.
Quiz:
The pillars of API Security:
Governence:
Incentivar a los ingerios darles buenas pautas para aprender a crear apis SEGURAS, LA SOLUCION A GOVERNENCE un API GATEWAY
Si la api será publica cuidar que info sera publica de la API, cuidar los endpoints de la API, teniendo siempre presente ¿que será lo que el atacante quiera obtener de nosotros?
Con guia se refiere a tener todos los minimos controles de autenticacion por ejm bien activos e implementados, buenos endoints nombrados, explicaciones de la doc bien redactadas, eso es como un guia de buena creacion de documentation para asi mismo evitar problemas de seguridad.
Monitoring:
Y en runtime protection tenemos 2 approaches:
Aqui pareciera que la de verde fuer legitima sin embargo, ¿que pasa si el ID=123 le pertenece es al user ID:11 ? SE TRANSFORMA COMPLETAMENTE EN ILEGITIMA, y aqui en estos escenarios es donde se necesita el contexto, las herramientas no podrán detectarlo al 100% sino están bien construidas y tienen una base.
Testing:
Testear siempre en el desarrollo de la API en busca de Flaws “Si lo hay”, ¿fue la aplicacion creada como se queria? tiene bugs? se puede explotar? Pero debemos pensar en tono negativo, tipo: “La aplicacion API está haciendo algo que NO debería hacer?”
El testing se divide en 3: Security testing, data testing, Y Logic Testing.
¿Como se puede testear entonces la API?
Option 4: Api SEC AUTOMATION con el fin de poder automatizar el testeo, dentro del CI/CD
Quiz:
Application security Technology Landscape:
Con la imagen a continuacion definimos el orden o principio que deberiamos seguir si tenemos una vulnerabilidad presente recopilada durante el testing:
Y asi vemos como si hay IP’s desconcidas poder definirlas en la api definition y probasrlas en el despliegue pero por ejm improper access es algo que. podemos mejorar ese access control durante el desarollo luego lo testeamos y ya en desplieuge está más que listo, me hago entender?
Quiz:
Final curso fundamentals, y a continuación quiz final:
Quiz Final:
Last updated