W H I T E PA P E R

Como a Akamai
ajuda a mitigar
as dez principais
vulnerabilidades
de segurança de
APIs do OWASP
Introdução
As APIs (interfaces de programação de aplicações)
atuais proporcionam uma integração flexível, rápida
e econômica entre praticamente qualquer software,
dispositivo ou fonte de dados. As APIs atendem a
uma ampla variedade de funcionalidades e atuam
como uma base para inovação e transformação
digital. As ofertas móveis, de SaaS e de ambientes
híbridos multinuvem são apenas alguns exemplos
da importância subjacente das APIs. As APIs também
se tornaram o padrão de fato para desenvolver e
conectar aplicações modernas, especialmente com
a crescente mudança para arquiteturas baseadas
em microsserviços. Os microsserviços pequenos e
independentes são integrados em aplicações mais
complexas usando APIs. Essas APIs são importantes
porque permitem a interação com o microsserviço
em si. De simples fluxos internos entre as partes de
uma aplicação de microsserviço a grandes
transações B2B que equivalem a milhões de reais,
é importante proteger as APIs devidamente porque
elas atuam como a ligação digital que conecta
diferentes sistemas e ecossistemas de parceiros,
proporcionam experiências digitais e em vários
canais para os clientes e são vulneráveis a
praticamente todos os mesmos riscos relacionados
às aplicações Web clássicas.
Nossa compreensão tradicional das APIs (por
exemplo, APIs de terceiros ou entre computadores)
pode e deve ser expandida para incluir serviços de
aplicações Web e móveis como parte da arquitetura
baseada em microsserviços. Em outras palavras,
uma solicitação da Web dentro da arquitetura de
microsserviços é uma API que atua como uma em
uma série de chamadas para vários microsserviços.
Cada uma dessas chamadas pode acabar abrindo
brechas de segurança e criar riscos de privacidade
que podem variar de validação insatisfatória dos
dados, erros de configuração e falhas de
implementação até a falta de integração entre os
componentes de segurança. É importante observar
isso ao abordar as vulnerabilidades definidas no
OWASP (Open Web Application Security Project)
API Security Top 10.
Em 2017, o OWASP incluiu as APIs insuficientemente
protegidas como parte de seu OWASP Top 10.
Depois, em 2019, o projeto publicou o API Security
Top 10 com uma lista dos tipos mais comuns de
vulnerabilidades de API. O objetivo do OWASP
Top 10 e do API Security Top 10 é aumentar a
conscientização sobre as vulnerabilidades comuns
de segurança que os desenvolvedores devem
considerar, promover essa conscientização em
várias práticas de desenvolvimento e ajudar a
promover uma cultura de práticas seguras de
desenvolvimento. Não devemos tratar essas listas
de Top 10 como simples checklists de vetores de
ataque que podem ser bloqueados por uma ou
qualquer combinação de soluções de WAAP
(proteção de APIs e aplicações Web), gateways
de API, gerenciamento de APIs e/ou ferramentas
especializadas de API.
A mitigação de riscos relacionados às APIs requer
a compreensão não apenas das APIs em si, mas
também o papel que os fornecedores de segurança
e a sua organização desempenham para protegê-
las. Algumas áreas de risco só podem ser
totalmente abordadas pelos desenvolvedores, mas
os fornecedores de segurança podem ajudar em
áreas específicas. Para abordar o API Security Top
10, é necessário compreender onde e como (e
quanto) os fornecedores de segurança podem
ajudar a ampliar as suas práticas existentes de
desenvolvimento.
Nossa compreensão tradicional
das APIs pode e deve ser
expandida para incluir serviços de
aplicações Web e móveis como
parte da arquitetura baseada em
microsserviços.
Veja a seguir uma descrição das áreas em que a
Akamai pode ajudar em suas iniciativas com nossas
soluções de segurança de edge, nossos serviços
gerenciados e nossa plataforma inteligente de edge.
akamai.com | 2
API1:2019 Autorização
em nível de objeto
corrompida
Definição do OWASP: as APIs tendem a expor
pontos de extremidade que lidam com
identificadores de objeto, o que cria um grande
problema de controle de acesso em nível de
superfície de ataque. As verificações de autorização
em nível de objeto devem ser consideradas em
todas as funções que acessam uma fonte de dados
usando a entrada do usuário.
Como a Akamai pode ajudar?
Essa vulnerabilidade ocorre quando a autorização
de um cliente não é validada corretamente para
acessar os IDs de objeto. As organizações podem
reduzir esse risco não confiando exclusivamente nas
IDs de objeto informadas na solicitação por um
cliente ou usando um ID de objeto aleatório e difícil
de adivinhar. O objetivo é validar a autorização de
todos os objetos acessados ou mascarar o ID
verdadeiro dos objetos quando adequado, a fim de
mitigar ainda mais os riscos. Isso acontece porque
os invasores podem tentar solicitar recursos
diretamente e não por meio do fluxo esperado das
aplicações. A Akamai pode ajudar desta maneira:
• A solução WAAP (proteção de aplicações Web
e APIs) da Akamai, App & API Protector, pode
identificar parcialmente essas solicitações por
meio da validação do cabeçalho Referer.
Embora as organizações devam corrigir seu processo corrompido de
autenticação de usuários para abordar totalmente essa vulnerabilidade,
a Akamai pode ajudar a detectar e oferecer proteção contra muitos dos
vetores de ataque que tentam explorá-la.
API2:2019 Autenticação
de usuário corrompida
Definição do OWASP: geralmente, os mecanismos
de autenticação são implementados incorretamente,
o que permite que os invasores comprometam
tokens de autenticação ou explorem falhas de
implementação para assumir as identidades de
outros usuários de modo temporário ou
permanente. O comprometimento da capacidade
de um sistema de identificar o cliente/usuário
compromete a segurança da API em geral.
Como a Akamai pode ajudar?
Embora as organizações devam corrigir seu
processo corrompido de autenticação de usuários
para abordar totalmente essa vulnerabilidade, a
Akamai pode ajudar a detectar e oferecer proteção
contra muitos dos vetores de ataque que tentam
explorá-la.
• Os recursos do gateway de API da Akamai dão
suporte à validação de JWT (JSON Web Token)
para autenticação em recursos individuais, com
chaves que verificam reivindicações dentro de
tokens e calculam assinaturas digitais da RSA,
para garantir que os tokens não sejam
adulterados.
• A solução de gerenciamento de bots da Akamai
pode detectar e gerenciar a automação usada nos
ataques de credential stuffing e autenticação de
força bruta.
akamai.com | 3
API3:2019 Exposição
de dados excessivos

Definição do OWASP: ansiosos por implementações

genéricas, os desenvolvedores tendem a expor
todas as propriedades do objeto sem considerar a
confidencialidade individual deles, contando com
os clientes para realizar a filtragem de dados antes
de exibi-los ao usuário.

Sem controle sobre o estado de um cliente, os

servidores realizam mais filtragem, um processo
que pode ser violado para ter acesso a dados
confidenciais.

Como a Akamai pode ajudar?

As APIs devem exibir apenas dados relevantes e
necessários para a finalidade pretendida. Quando
dados excessivos são expostos (como tecnologia de
software, versões etc.), isso permite que os invasores
encontrem vulnerabilidades e dados confidenciais.
Embora as organizações reduzam a exposição
desnecessária de propriedades de objeto e analisem
a confidencialidade delas, várias soluções da Akamai
podem ajudar a abordar alguns aspectos dessa
vulnerabilidade.

• O App & API Protector com Advanced Security

Management inclui uma segurança positiva de
APIs que define formatos aceitáveis de objetos
JSON e XML para filtrar os que podem expor
dados excessivos acidentalmente.

• O App & API Protector permite ações de resposta

personalizadas para que os clientes possam definir
e apresentar respostas com base em HTML, XML e
JSON, ou outros tipos de resposta para enganar
os invasores que procuram dados confidenciais.

akamai.com | 4
API4:2019 Falta de recursos
e limitação de taxa
Definição do OWASP: muitas vezes, as APIs não
impõem restrições quanto ao tamanho ou ao número
de recursos que podem ser solicitados pelo cliente/
usuário. Isso pode não só afetar o desempenho do
servidor de APIs, causando uma DoS (negação de
serviço), como também abrir espaço para falhas de
autenticação, como força bruta.
Como a Akamai pode ajudar?
Geralmente, as APIs não limitam o número de
solicitações que apresentam em determinado
tempo, nem limitam a quantidade de dados
exibidos. Isso pode levar os invasores a realizar
ataques de DoS que tornam o sistema indisponível
para usuários legítimos. As soluções da Akamai
oferecem limitação de taxa e proteção contra
ataques lentos e de baixo volume para acelerar e
controlar as solicitações de API.
• O App & API Protector com Advanced Security
Management apresenta controles de taxa que
permitem que os clientes definam limites para as
solicitações por API. Ele limita os clientes quando
eles excedem esses limites. É possível aplicar os
recursos de controle de fluxo a toda a API, a
recursos selecionados e/ou a verbos HTTP de
determinado recurso.
• O App & API Protector protege a infraestrutura
de back-end da API contra o esgotamento de
recursos iniciado por ataques Dos lentos e de
baixo volume (por exemplo, Slow POST).
• O App & API Protector com Advanced Security
Management pode restringir o tamanho, o tipo e
a profundidade das solicitações; por exemplo, é
possível usar restrições de solicitação para validar
JSON e XML em relação a formatos predefinidos
para evitar o esgotamento de recursos.
As soluções da Akamai oferecem limitação de taxa e proteção contra ataques
lentos e de baixo volume para acelerar e controlar as solicitações de API.
API5:2019 Autorização em
nível de função corrompida
Definição do OWASP: as políticas complexas de
controle de acesso com diferentes hierarquias,
grupos e funções, além de uma separação confusa
entre as funções administrativas e regulares, tendem
a causar falhas de autorização. Ao explorar esses
problemas, os invasores têm acesso aos recursos
e/ou funções administrativas de outros usuários.
Como a Akamai pode ajudar?
Embora as organizações devam se esforçar para
corrigir seus modelos de controle de acesso para
abordar totalmente essa vulnerabilidade, a Akamai
pode ajudar a detectar e oferecer proteção contra
alguns dos vetores de ataque que tentam explorar
a autorização corrompida em nível de função.
• O Akamai Enterprise Application Access
proporciona um modelo de acesso de privilégios
mínimos para usuários corporativos, permitindo
que apenas usuários autenticados visualizem e
acessem aplicações autorizadas. Isso ajuda a criar
uma separação entre as funções administrativas e
regulares dos usuários e reduz os riscos de falhas
de autorização com um modelo de segurança
Zero Trust.
• O App & API Protector pode ser usado para
detectar automaticamente pontos de extremidade
de APIs confidenciais (por exemplo, painéis
administrativos) que podem ser expostos ao
público acidentalmente.
akamai.com | 5
API6:2019
Atribuição em massa

Definição do OWASP: vincular dados fornecidos

pelo cliente (por exemplo, JSON) a modelos de
dados, sem propriedades adequadas, filtrando-os
com base em uma lista de permissões, geralmente
resulta em uma atribuição em massa. A adivinhação
das propriedades dos objetos, a exploração de
outros endpoints de API, a leitura da documentação
ou a apresentação de propriedades de objeto
adicionais em cargas úteis de solicitação permite
que os invasores modifiquem propriedades de
objeto que não deveriam modificar.

Como a Akamai pode ajudar?

As modernas estruturas de API incentivam os
desenvolvedores a vincular automaticamente a
entrada do cliente a variáveis de código e objetos
internos. Embora os usuários legítimos devam ser
autorizados a atualizar alguns campos de dados,
eles não devem conseguir alterar as permissões em
nível do usuário e/ou outras funções administrativas.
Os endpoints de API serão considerados
vulneráveis se converterem automaticamente a
entrada do cliente em propriedades de objetos
internos sem considerar o nível de exposição e
confidencialidade deles. A Akamai pode ajudar a
mitigar esse risco.

• O App & API Protector com Advanced Security

Management inclui uma segurança positiva de
APIs que define formatos aceitáveis de objetos
JSON e XML para filtrar os que são elaborados
de maneira mal-intencionada.

akamai.com | 6
API7:2019 Configuração
incorreta de segurança
Definição do OWASP: geralmente, a configuração
incorreta da segurança é resultado de configurações
padrão desprotegidas, configurações incompletas
ou específicas, armazenamento em nuvem aberta,
cabeçalhos HTTP mal configurados, métodos HTTP
desnecessários, CORS (Cross-Origin Resource
Sharing) permissivo e mensagens de erro
detalhadas que contêm informações confidenciais.
Como a Akamai pode ajudar?
Por definição, a configuração incorreta da
segurança abrange vários aspectos da segurança
de aplicações e APIs e requer que as organizações
configurem devidamente os controles de
segurança. Embora não seja uma substituta para a
configuração adequada, a Akamai pode oferecer
proteção contra vazamento de dados, corrigir
cabeçalhos mal configurados, restringir métodos
desnecessários e muito mais.
• O App & API Protector com Advanced Security
Management pode ser usado para inspecionar
a resposta HTTP das aplicações Web, a fim de
detectar dados confidenciais que saem de uma
aplicação Web, como vazamentos de nome de
arquivo, diretório e códigos/mensagens de erro
de SQL.
• O App & API Protector oferece regras
personalizadas que podem ser usadas para
detectar a presença de informações de
identificação pessoal, como números de CPF,
e para corrigir as APIs virtualmente.
• O controle detalhado das políticas de CORS com
funcionalidade completa de CORS pode ser
configurado e aplicado na edge com recursos
de gateway de API.
• O App & API Protector oferece a opção de ações
de resposta personalizadas na edge, nas quais os
clientes podem definir e apresentar respostas
com base em HTML, XML, JSON ou outros tipos
para enganar os invasores que procuram dados
confidenciais em mensagens de erro.
• O App & API Protector pode adicionar e remover
cabeçalhos HTTP para corrigir configurações
incorretas e aplicar práticas recomendadas de
segurança.
akamai.com | 7
API8:2019 Injeção

Definição do OWASP: falhas de injeção, como

injeção de SQL, NoSQL e de comandos etc.,
ocorrem quando dados não confiáveis são enviados
a um intérprete como parte de um comando ou de
uma consulta. Os dados mal-intencionados do
invasor podem induzir o intérprete a executar
comandos não intencionais ou acessar dados sem
a devida autorização.

Como a Akamai pode ajudar?

As organizações podem usar uma solução de WAAP
para proteger as aplicações Web e as APIs contra
falhas de injeção. No entanto, as organizações
devem sempre corrigir as aplicações Web e as
APIs para abordar quaisquer vulnerabilidades
descobertas com base no ciclo de vida de
desenvolvimento.

• O App & API Protector oferece proteção contra

ataques de injeção (por exemplo, SQLi, XSS,
CMDi, RFI e LFI) e inspeciona automaticamente
as solicitações JSON e XML.

• A aplicação virtual de patches com regras

personalizadas pode abordar as vulnerabilidades
de injeção novas ou emergentes expostas por
aplicações e APIs que passam por constantes
mudanças. A aplicação virtual de patches também
pode ser automatizada e integrada aos processos
de CI/CD, aproveitando as APIs de configuração
AppSec da Akamai.

• O App & API Protector protege as APIs contra

clientes abusivos, bloqueando imediatamente e
persistentemente as sessões ativas de ataque.
Qualquer cliente cuja solicitação esteja em
violação será colocado em uma "caixa de
penalidade" e terá suas solicitações negadas
por incrementos de dez minutos.

akamai.com | 8
API9:2019 Gerenciamento
inadequado de ativos
Definição do OWASP: as APIs tendem a expor mais
pontos de extremidade que as aplicações Web
tradicionais, o que torna extremamente importante
ter uma documentação adequada e atualizada. Os
hosts adequados e o inventário das versões de API
implantadas também desempenham um papel
importante na redução de problemas como versões
preteridas de API e pontos de extremidade de
depuração expostos.
Como a Akamai pode ajudar?
As soluções de segurança de API podem proteger
as APIs conhecidas, mas as APIs desconhecidas
(incluindo APIs preteridas, preexistentes e/ou
desatualizadas) podem ficar sem patches e
vulneráveis a ataques. Os invasores podem acabar
tendo acesso a dados confidenciais ou, até mesmo,
ao servidor por meio de APIs desconhecidas que
estão conectadas ao mesmo banco de dados.
A Akamai pode detectar as APIs e criar um perfil
para elas a fim de mitigar esse risco.
• O App & API Protector detecta automaticamente
as APIs desconhecidas (incluindo seus pontos
de extremidade, recursos, características e
definições) para permitir que as equipes de
segurança fiquem a par das mudanças das
definições e detectem APIs preexistentes e/ou
preteridas.
• O App & API Protector oferece regras
personalizadas que podem ser usadas para
aplicar patches virtualmente e abordar as
vulnerabilidades expostas por definições de
API que passam por constantes mudanças.
• Os recursos de gateway de API podem ajudar as
versões de APIs a gerenciar adequadamente os
ciclos de vida delas.
As soluções de segurança de
API podem proteger as APIs
conhecidas, mas as APIs
desconhecidas (incluindo APIs
preteridas, preexistentes e/ou
desatualizadas) podem ficar sem
patches e vulneráveis a ataques.
akamai.com | 9
API10:2019 Registro e A Akamai oferece telemetria
monitoramento insuficientes detalhada dos ataques e análise
de eventos de segurança com
nosso painel de análise de
Definição do OWASP: o monitoramento e o registro
insuficientes, juntamente com a ausência ou a segurança na Web.
ineficácia da integração com a resposta a incidentes,
permitem que os invasores ataquem ainda mais
sistemas, mantenham a persistência e adaptem-se a
mais sistemas para adulterá-los ou extrair ou destruir
dados. A maioria dos estudos de violações mostra
que o tempo para detectar uma violação é superior
a 200 dias e que, geralmente, essas violações são
detectadas por partes externas e não pelo
monitoramento ou pelos processos internos.

Como a Akamai pode ajudar?

O monitoramento e o registro insuficientes não
descrevem uma vulnerabilidade em si, mas uma
lacuna na capacidade de uma organização de
abordar vulnerabilidades e impedir as tentativas
dos invasores de explorá-las. A Akamai oferece
vários recursos para que as organizações tenham
maior visibilidade sobre os ataques.

• A Akamai oferece telemetria detalhada dos

ataques e análise de eventos de segurança com
nosso painel e nossos relatórios de análise de
segurança na Web, que monitoram e avaliam
eventos de segurança no nível de API.

• O App & API Protector integra-se às soluções de

SIEM (informações de segurança e gerenciamento
de eventos; por exemplo: Splunk, QRadar e
ArcSight) locais e na nuvem com logs de dados
completos para ajudar a correlacionar eventos
detectados pela Akamai às outras soluções de
segurança.

• O App & API Protector pode aumentar

dinamicamente os registros de auditoria
para clientes suspeitos. Essa configuração
de intercepção e rastreamento pode ser
implementada com o alerta de segurança para
colocar clientes suspeitos em uma "lista de
observação". Isso inicia um registro de auditoria
completo do cliente.

• O serviço de segurança gerenciado da Akamai

oferece monitoramento, gerenciamento de
segurança e redução de ameaças 24 horas por
dia, sete dias por semana.

akamai.com | 10
Conclusão
As organizações e seus fornecedores de segurança
devem trabalhar em conjunto, alinhando pessoas,
processos e tecnologias para instituir uma defesa
sólida contra os riscos de segurança descritos no
OWASP API Security Top 10. A Akamai oferece
soluções de segurança líderes do setor,
especialistas altamente experientes e uma
plataforma inteligente de edge que obtém insights
de milhões de ataques a aplicações Web, bilhões
de solicitações de bot e trilhões de solicitações de
API todos os dias. As soluções de segurança de
aplicações Web e APIs da Akamai ajudarão a
proteger sua organização contra as formas mais
avançadas de ataques DDoS, ataques com base em
API e a aplicações Web.
Para saber mais sobre o portfólio de segurança de
edge da Akamai, acesse nosso website. Se quiser
discutir e explorar com mais detalhes como podemos
fazer uma parceria para desenvolver a melhor
proteção para sua empresa, entre em contato com
seu representante de vendas da Akamai hoje mesmo.

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba
tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos.
As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que
estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas
dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e
em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e
monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam
na Akamai, acesse www.akamai.com, blogs.akamai.com ou siga @Akamai no Twitter. Nossas informações de contato globais podem
ser encontradas em www.akamai.com/locations. Publicado em 08/21.

akamai.com | 11