| API1:2023 - Otorisasi Rusak Tingkat Obyek |
API cenderung mengungkap titik akhir yang menangani identifier objek, menciptakan suatu permukaan serangan yang lebar dari masalah-masalah Kendali Akses Tingkat Objek. Pemeriksaan otorisasi tingkat objek mesti dipertimbangkan dalam setiap fungsi yang mengakses suatu sumber data memakai ID dari pengguna. |
| API2:2023 - Otentikasi yang Rusak |
Mekanisme otentikasi sering diimplementasi secara salah, memungkinkan penyerang mengkompromi token otentikasi atau untuk mengeksploitasi cacat implementasi untuk menyaru identitas sebagai pengguna lain secara sementara atau permanen. Mengompromi kemampuan sistem untuk mengidentifikasi klien/pengguna, mengkompromi keamanan API secara keseluruhan. |
| API3:2023 - Otorisasi Rusak Tingkat Properti Obyek |
Kategori ini menggabung API3:2019 Excessive Data Exposure dan API6:2019 - Mass Assignment, memfokuskan ke akar masalah: kurangnya atau tidak tepatnya validasi otorisasi pada tingkat properti objek. Ini mengarah ke pengungkapan informasi atau manipulasi oleh pihak yang tidak punya otorisasi. |
| API4:2023 - Konsumsi Sumber Daya Tak Dibatasi |
Memenuhi permintaan API memerlukan sumber daya seperti bandwidth jaringan, CPU, memori, dan penyimpanan. Sumber daya lain seperti surel/SMS/panggilan telepon atau validasi biometrik disajikan oleh penyedia layanan melalui integrasi API, dan dibayar per permintaan. Serangan yang sukses bisa mengarah ke Denial of Service atau peningkatan biaya operasi. |
| API5:2023 - Otentikasi Rusak Tingkat Fungsi |
Kebijakan kendali akses yang rumit dengan hirarki, grup, peran yang berbeda, dan pemisahan yang tidak jelas antara fungsi-fungsi administratif dan biasa, cenderung mengarah ke cacat otorisasi. Dengan mengekploatasi masalah-masalah ini, penyerang dapat memperoleh akses ke sumber daya pengguna lain dan/atau fungsi-fungsi administratif. |
| API6:2023 - Akses Tak Dibatasi ke Alur Bisnis Sensitif |
API yang rentan terhadap risiko ini mengungkap suatu alur bisnis - seperti misalnya membeli sebuah tiket, atau mengirim suatu komentar - tanpa mengkompensasi bagaimana fungsionalitas tersebut dapat mencederai bisnis bila dipakai secara berlebihan dengan cara terotomasi. Ini tidak selalu datang dari bug implementasi. |
| API7:2023 - Pemalsuan Permintaan Sisi Server |
Cacat Pemalsuan Permintaan Sisi Server (SSRF, Server-Side Request Forgery) dapat terjadi ketika API mengambil suatu sumber daya tanpa memvalidasi URI yang diberikan oleh pengguna. Ini memungkinkan penyerang memaksa aplikasi untuk mengirim suatu permintaan yang sengaja disusun ke tujuan yang tidak diharapkan, bahkan ketika diproteksi oleh suatu firewall atau VPN. |
| API8:2023 - Kesalahan Konfigurasi Keamanan |
API dan sistem yang mendukung mereka biasanya mengandung konfigurasi yang rumit, yang bertujuan membuat API lebih dapat disesuaikan. Para pengembang perangkat lunak dan DevOps bisa melewatkan konfigurasi ini, atau tidak mengikut praktik terbaik keamanan ketika berurusan dengan konfigurasi, membuka pintu untuk tipe serangan lain. |
| API9:2023 - Manajemen Inventaris yang Tidak Tepat |
API cenderung mengungkap lebih banyak titik akhir dari pada aplikasi web tradisional, membuat dokumentasi yang terbarui dan sesuai menjadi sangat penting. Inventaris yang sesuai atas host dan versi API yang digelar juga penting untuk memitigasi masalah-masalah seperti misalnya versi API usang dan titik-titik akhir awakutu yang terungkap. |
| API10:2023 - Konsumsi API Tanpa Peduli Keselamatan |
Para pengembang cenderung lebih memercayai data yang diterima dari API pihak ketiga dari pada masukan pengguna, sehingga cenderung mengadopsi standar keamanan yang lebih lemah. Untuk mengkompromi API, penyerang mengarah ke layanan pihak ketiga terintegrasi alih-alih mencoba mengkompromi API sasaran secara langsung. |