OWASP API Top 10 (2023): Guia Completo com Testes e Correções
APIs são fundamentais para o software moderno, mas também introduzem riscos de segurança únicos. 91% das organizações relataram incidentes de segurança de API em 2020, e os ataques só cresceram em frequência e gravidade. O OWASP API Security Top 10 é um framework projetado para combater essas vulnerabilidades, ajudando as organizações a proteger APIs contra ameaças como Broken Object Level Authorization (BOLA), Exposição Excessiva de Dados e Server-Side Request Forgery (SSRF).
Principais Pontos:
As APIs agora respondem por 83% do tráfego web, tornando-as alvos principais de ataques.
O custo médio de uma violação de API é de US$ 4,88 milhões, como visto na violação da T-Mobile em 2023, que afetou 37 milhões de usuários.
O framework do OWASP destaca os principais riscos de API, como Autenticação Quebrada, Configuração Incorreta de Segurança e Falhas de Rate Limiting.
Para proteger APIs:
Use autenticação robusta (OAuth 2.0, MFA) e autorização (RBAC).
Valide entradas, aplique filtragem no lado do servidor e limite a exposição de dados.
Aplique rate limiting e monitore o tráfego em busca de anomalias.
Teste APIs regularmente conforme os padrões OWASP usando ferramentas como o Qodex para automatizar a detecção de vulnerabilidades.
Curso de OWASP API Security Top 10: Proteja Suas Aplicações Web
As 10 Principais Vulnerabilidades de Segurança de API do OWASP Explicadas
Compreender os detalhes por trás de cada risco do OWASP API Security Top 10 é essencial para proteger dados sensíveis e assegurar APIs. Essas vulnerabilidades representam métodos de ataque comuns que podem comprometer seus sistemas e expor informações privadas. Vamos detalhar os principais riscos.
OWASP API Top 10: O que mudou de 2019 para 2023?
A atualização de 2023 do OWASP mescla e reorganiza categorias para refletir como os ataques a APIs realmente acontecem em produção. O API3: Broken Object Property Level Authorization (BOPLA) agora cobre tanto Exposição Excessiva de Dados quanto Mass Assignment do nível de campo/propriedade de 2019. Unrestricted Resource Consumption substitui "Falta de Recursos e Rate Limiting", o SSRF torna-se sua própria categoria, e Unsafe Consumption of APIs substitui "Log e Monitoramento Insuficientes". Conhecer essas mudanças ajuda as equipes a modernizar planos de teste e controles.
2019 para 2023 | O que mudou | Por que importa |
|---|---|---|
API3 EDE + API6 Mass Assignment para API3 BOPLA | Autenticação e vinculação em nível de campo agora agrupados | Previne vazamentos de campos sensíveis e sobrescritas de campos ocultos |
API4 Falta de Recursos para API4 Unrestricted Resource Consumption | Amplia além dos limites de taxa | Adiciona cotas/orçamentos para CPU, memória, chamadas downstream |
API7 SSRF (novo foco) | Eleva o abuso de busca no lado do servidor | Abuso de metadados em nuvem/IMDS é comum |
API10 Unsafe Consumption of APIs | Substitui log/monitoramento | Risco de cadeia de suprimento e "confiar em APIs de terceiros" (OWASP Foundation) |
1. Broken Object Level Authorization
Broken Object Level Authorization (BOLA) acontece quando as APIs falham em confirmar se um usuário tem as permissões adequadas para acessar objetos ou recursos específicos. Essa falha aumenta o risco ao expor endpoints vinculados a identificadores de objetos.
O problema muitas vezes decorre de verificações de autorização inadequadas, onde as APIs dependem de IDs de objetos fornecidos pelo cliente sem verificar se o usuário tem permissão de acesso. Em vez de validar permissões, a API assume que a solicitação é legítima.
Um exemplo notável é a falha da API Peloton em 2021, que permitia aos usuários visualizar os detalhes de conta de outros, expondo informações privadas. Isso destaca como tais descuidos podem comprometer a privacidade dos usuários.
Os invasores exploram isso manipulando identificadores de objetos nas solicitações para acessar, modificar ou excluir recursos pertencentes a outros. Isso pode levar a graves violações de privacidade e problemas de conformidade, especialmente com dados regulamentados como registros de saúde ou financeiros.
Riscos da Broken Object Property Level Authorization
Quando as APIs ignoram verificações adequadas no nível de propriedade do objeto, dados sensíveis podem escapar ou, pior ainda, cair em mãos erradas. Em vez de verificar se um usuário tem o direito de acessar ou modificar campos específicos dentro de um objeto, muitas APIs inadvertidamente confiam em qualquer solicitação recebida.
O resultado? Os invasores podem visualizar ou alterar informações que não deveriam conseguir, como endereços de e-mail expostos, configurações de conta ou detalhes financeiros confidenciais escondidos em um perfil de usuário. Até endpoints aparentemente inofensivos podem ser uma mina de ouro para quem é esperto o suficiente para criar solicitações visando propriedades específicas de objetos.
Se essas lacunas de validação não forem verificadas, pode levar a:
Vazamentos acidentais de dados privados de usuários por meio de exposição excessiva de dados
Edições não autorizadas de propriedades protegidas via mass assignment
Dores de cabeça de conformidade, especialmente em relação a dados regulamentados (como registros de saúde)
Um convite aberto para invasores que buscam explorar endpoints de API esquecidos
Em última análise, negligenciar a segurança no nível de propriedade não apenas ameaça a privacidade individual, pode comprometer todo o ecossistema da API.
Como testar e proteger contra BOLA
Adicione verificações de permissão no lado do servidor em qualquer lugar onde um ID de objeto venha do cliente. No CI, inclua testes negativos que tentem IDs entre tenants, escopos ausentes e IDs de objetos históricos; falhe na build se houver qualquer resposta diferente de 403. Use logs de solicitação para gerar automaticamente casos de teste de lista de negação a partir de tentativas reais de exploração.
Adicione um verificador de política (middleware) que carrega o proprietário do objeto e compara com
sub/tenant_id.Mascare/rotacione IDs sequenciais (prefira GUIDs opacos) para reduzir a enumeração.
Bloqueie merges em testes BOLA; armazene-os como JUnit para visibilidade em PRs.
2. Autenticação Quebrada
A autenticação é a primeira barreira contra acesso não autorizado, mas a autenticação quebrada pode deixar as APIs vulneráveis. Essas falhas surgem de sistemas de autenticação fracos, mal configurados ou inseguros que falham em verificar adequadamente as identidades dos usuários.
"O mecanismo de autenticação é um alvo fácil para invasores, pois está exposto a todos." - OWASP
Problemas comuns incluem senhas fracas, falta de autenticação multifator e proteção insuficiente contra ataques de força bruta. Muitas organizações também lutam com validação segura de token e gerenciamento de sessão, deixando lacunas exploráveis.
Por exemplo, uma falha da API USPS em 2018 expôs dados de conta de 60 milhões de usuários, permitindo que usuários autenticados contornassem verificações adequadas.
Quando os mecanismos de autenticação falham, os invasores podem se passar por usuários, obter acesso a dados sensíveis e realizar ações não autorizadas. Essa vulnerabilidade frequentemente serve como porta de entrada para ataques mais avançados, enfatizando a necessidade de protocolos de autenticação robustos.
3. Exposição Excessiva de Dados
Exposição Excessiva de Dados ocorre quando as APIs enviam mais dados do que o necessário, dependendo de filtragem no lado do cliente em vez de aplicar controles no lado do servidor.
"As APIs dependem dos clientes para realizar a filtragem de dados." - OWASP
Os desenvolvedores frequentemente retornam conjuntos de dados completos para atender múltiplos clientes com necessidades de dados variadas, assumindo que os clientes filtrarão informações desnecessárias. Essa abordagem ignora os riscos de enviar dados excessivos pela rede.
Por exemplo, uma falha na API do Twitter permitiu que invasores compilassem conjuntos de dados de informações pessoais, que foram posteriormente vendidos em fóruns de hackers.
Essa vulnerabilidade destaca a importância da filtragem no lado do servidor para evitar a exposição desnecessária de dados sensíveis.
Broken Object Property Level Authorization: um vinculador de payload mais seguro
Pare o mass assignment com vinculação por lista de permissões
A maioria dos bugs BOPLA ocorre quando frameworks vinculam corpos de solicitação completos a modelos. Aplique uma lista de permissões de campos graváveis no lado do servidor e verificações explícitas de função antes de modificar propriedades sensíveis (por exemplo, role, plan, isAdmin).
Combine isso com validação de esquema nas respostas para evitar vazamentos acidentais de campos.
4. Configuração Incorreta de Segurança
Configuração incorreta de segurança é um problema generalizado, mas evitável, na segurança de API. Ocorre quando as APIs são configuradas incorretamente, deixando-as vulneráveis por meio de configurações padrão, patches ausentes ou funcionalidades desnecessárias.
O problema frequentemente surge de endurecimento de segurança incompleto em ambientes, sistemas desatualizados ou falta de adesão às melhores práticas durante a implantação. Muitas organizações falham em manter configurações consistentes entre ambientes de desenvolvimento, staging e produção.
Em 2017, a API mal configurada da SVR Tracking expôs os dados de mais de 500.000 dispositivos de rastreamento. Mais recentemente, em 2024, a configuração incorreta do cabeçalho X-Api-Version da FleetSecure permitiu que invasores injetassem lookups JNDI maliciosos, concedendo acesso não autorizado e execução de comandos.
Esses exemplos mostram como as configurações incorretas podem levar desde vazamentos de dados até comprometimento total do sistema, ressaltando a necessidade de gerenciamento adequado de configuração.
Unrestricted Resource Consumption: cotas, não apenas limites de taxa
Aplique orçamentos de desempenho e custo no CI/CD
Vá além das solicitações por minuto: orce chamadas downstream, tamanho do payload, tempo de CPU e uso de fila por token/aplicação. Falhe builds se uma rota exceder a latência p95 ou orçamento de erro durante execuções curtas de smoke test do k6; aplique throttles de gateway em produção.
Política de gateway (exemplo Kong):
Isso previne abuso "barato" (muitas solicitações pequenas) e abuso "caro" (poucas solicitações pesadas).
5. Server-Side Request Forgery (SSRF)
Server-Side Request Forgery (SSRF) ocorre quando as APIs aceitam URLs fornecidas pelo usuário sem validação para buscar recursos remotos, efetivamente transformando o servidor em uma ferramenta para solicitações maliciosas.
O SSRF frequentemente ocorre quando as APIs permitem URLs como entrada para recuperar conteúdo externo como imagens ou documentos. Sem validação adequada, os invasores podem redirecionar essas solicitações para sistemas internos, serviços de metadados de nuvem ou outros endpoints sensíveis.
Em 2020, uma falha no Shopify Exchange permitiu ataques SSRF que levaram ao acesso root em determinados containers. Da mesma forma, a violação da Capital One envolveu uma vulnerabilidade SSRF que expôs credenciais, afetando mais de 100 milhões de usuários.
O SSRF é particularmente perigoso porque pode contornar defesas de rede como firewalls, concedendo acesso a sistemas internos que deveriam permanecer inacessíveis. Isso ressalta seu potencial de comprometer a infraestrutura interna.
6. Broken Function Level Authorization
A broken function level authorization surge quando as APIs falham em aplicar as verificações corretas entre diferentes funções e privilégios de usuário. Abordamos essa vulnerabilidade em profundidade em nosso artigo dedicado sobre broken function level authorization. Esse problema frequentemente decorre de estruturas de acesso complexas, com grupos administrativos em camadas entrelaçados com usuários padrão, onde não está claro quem pode fazer o quê. Nessas situações, os desenvolvedores podem esquecer de restringir ações administrativas ou funções sensíveis, tornando-as inadvertidamente acessíveis a qualquer pessoa que conheça o endpoint correto.
Considere uma API por trás de uma plataforma de varejo como o Shopify: se a API não distinguir adequadamente entre usuários regulares e administradores de loja, um invasor astuto pode descobrir endpoints exclusivos para admins e acionar ações como visualizar dados de vendas, alterar preços ou gerenciar estoque, tudo sem as permissões adequadas.
Com efeito, esses descuidos permitem que atores maliciosos "subam de nível" em um sistema, sequestrem funções ou visualizem dados que deveriam estar protegidos. Isso torna crucial para os desenvolvedores de API implementar verificações rigorosas no lado do servidor, garantindo que cada solicitação seja verdadeiramente permitida para o usuário que a faz. Pular essa etapa é como distribuir chaves reservas para todo o seu prédio de apartamentos e torcer para que ninguém tente a cobertura.
Acesso Irrestrito a Fluxos de Negócios Sensíveis: defesas concretas
Proteja fluxos de alto valor (ingressos, pagamentos, vale-presentes)
O abuso muitas vezes se esconde em endpoints legítimos (por exemplo, carrinho para checkout). Adicione tokens de etapa (HMAC sobre estado do fluxo), regras de velocidade por usuário/dispositivo/ASN e chaves de idempotência para bloquear replay. Para operações em massa, exponha jobs assíncronos com cotas e revisão, não endpoints síncronos que possam ser automatizados.
7. Riscos do Consumo Inseguro de APIs de Terceiros
Consumo inseguro de APIs de terceiros ocorre quando os desenvolvedores confiam em APIs externas por padrão, ignorando validação rigorosa e verificações de segurança. Essa confiança indevida abre as portas para invasores, que frequentemente visam integrações fracamente defendidas como porta dos fundos para sistemas de outra forma seguros.
O perigo aqui é duplo. Primeiro, atores maliciosos podem manipular respostas de APIs externas mal protegidas, pense em processadores de pagamento, serviços de mapeamento ou ferramentas de comunicação como Twilio e Slack, enganando sua aplicação para aceitar dados contaminados ou solicitações não autorizadas. Segundo, se um serviço popular de terceiros for comprometido, qualquer aplicação integrada a ele pode herdar involuntariamente esses riscos.
Considere o caso em que um provedor de dados meteorológicos comprometido entrega scripts maliciosos ou expõe detalhes de configuração sensíveis. Os invasores podem aproveitar essa rota indireta para lançar ataques, exfiltrar dados ou obter acesso a funções privilegiadas, tudo sem precisar violar a API principal diretamente.
Em última análise, depender excessivamente de APIs externas sem validação adequada é como convidar estranhos para sua casa e assumir que eles não vão roubar a sua senha de Wi-Fi. Codificação defensiva, monitoramento vigilante e limites claros são essenciais para evitar abusos e impedir que sua API seja o elo mais fraco em um ecossistema complexo.
SSRF: bloqueie intervalos de endereços privados por padrão
Negue por padrão quando sua API buscar URLs
Antes de buscar no lado do servidor, rejeite intervalos privados/link-local/metadados e exija uma lista de permissões de hostnames; em nuvens, aplique IMDSv2 e limites de hop de metadados.
Rejeite entradas inseguras com 400, registre a intenção e emita alertas.
Abordando a Configuração Incorreta de Segurança
Mesmo com autenticação robusta e validação de entrada, sistemas mal configurados podem deixar suas APIs expostas. A configuração incorreta de segurança acontece quando padrões, serviços desnecessários ou configurações inseguras são deixados no lugar. Problemas comuns incluem:
Contas ou credenciais de admin padrão deixadas ativas.
CORS irrestrito ou endpoints abertos.
Mensagens de erro verbosas revelando lógica interna ou stack traces.
Cabeçalhos de segurança HTTP ausentes (como HSTS, CSP ou X-Content-Type-Options).
Melhores práticas para corrigir isso:
Endureça todas as configurações de servidor, gateway e API.
Desabilite funcionalidades e endpoints não utilizados.
Implemente verificações automatizadas de configuração.
Revise regularmente os logs em busca de comportamento incorreto causado por configurações erradas.
Avaliação Inicial de Riscos e Inventário de APIs
O primeiro passo para proteger suas APIs é entender o que você está protegendo. Apesar das APIs impulsionarem grande parte do tráfego atual, muitas organizações lutam para identificar quais endpoints expõem dados sensíveis. Essa falta de visibilidade cria grandes riscos de segurança.
Comece usando ferramentas automatizadas para localizar APIs não documentadas que possam ter sido implantadas sem supervisão formal. Cataloge cada endpoint de API, anotando sua finalidade, os dados que processa e seu status de segurança atual. Esse inventário forma a base dos seus esforços de segurança.
Documentação adequada e atualizada é igualmente importante: as APIs tendem a expor muito mais endpoints do que aplicações web tradicionais, portanto, lacunas no inventário ou documentação desatualizada podem deixá-lo cego a riscos. Mantenha um inventário dinâmico não apenas de endpoints, mas também de hosts implantados e versões de API. Acompanhar versões depreciadas, endpoints de debug expostos e APIs de sombra evita que invasores explorem interfaces esquecidas ou pouco seguras. Com um inventário completo e preciso e documentação em vigor, você estará melhor equipado para identificar vulnerabilidades, desativar endpoints desatualizados e garantir que suas APIs evoluam de forma segura ao longo do tempo.
Ao documentar e avaliar suas APIs, preste atenção especial a endpoints que expõem fluxos de negócios completos, como compra de ingressos, publicação de comentários ou transações financeiras. APIs que carecem de controles adequados em torno desses fluxos podem ser particularmente vulneráveis a abusos, como ataques automatizados que exploram a lógica de negócios em vez de bugs de implementação tradicionais. Por exemplo, se um invasor pode comprar ingressos rapidamente ou inundar sua aplicação com comentários automatizados, o impacto nos negócios pode ser significativo, mesmo que sua autenticação e validação sejam tecnicamente sólidas.
Ao avaliar seu cenário de APIs, preste atenção especial a fluxos de negócios que poderiam ser abusados em escala, mesmo que não sejam diretamente vulneráveis devido a um bug de codificação. Por exemplo, APIs que permitem aos usuários comprar ingressos, enviar avaliações ou realizar ações que afetam seus negócios devem ser avaliadas quanto a como poderiam ser exploradas por meio de automação. Expor esses fluxos sem controles adequados, como rate limiting, análise comportamental ou CAPTCHA, pode abrir a porta para riscos de negócios significativos, incluindo fraude e interrupção de serviço. Lembre-se: nem todas as ameaças surgem de vulnerabilidades técnicas; às vezes, é a falta de controles compensatórios que expõe seus negócios a danos.
Por que o inventário importa:
As APIs tendem a expor mais endpoints do que aplicações web tradicionais, tornando a documentação adequada e atualizada absolutamente essencial. Sem um inventário abrangente e atual, incluindo todos os hosts, versões implantadas e ambientes, é preocupantemente fácil que endpoints depreciados ou APIs de debug esquecidas passem despercebidas. Esses endpoints esquecidos ou desatualizados podem se tornar alvos fáceis para invasores, pois frequentemente são menos monitorados e podem carecer de controles de segurança atualizados.
Seja completo:
Documente cada host e versão de API implantada.
Atualize regularmente seu inventário à medida que as APIs evoluem, recebem versão ou são retiradas.
Garanta que todos os endpoints, incluindo pontos de staging, desenvolvimento e debug, sejam contabilizados.
Um inventário de API robusto e bem mantido não apenas ajuda a mitigar riscos de endpoints obsoletos ou expostos, mas também prepara o terreno para avaliação eficaz de riscos e gerenciamento de vulnerabilidades.
Em seguida, realize uma análise de lacunas comparando suas medidas de segurança atuais com o OWASP API Top 10. Essa análise deve sinalizar problemas como autenticação ausente, exposição excessiva de dados ou log insuficiente. Uma vez identificados, priorize as vulnerabilidades com base na sensibilidade dos dados envolvidos e no impacto potencial nos negócios, use uma calculadora CVSS para atribuir pontuações de severidade consistentes.
Para justificar o investimento em segurança de API, quantifique os riscos. Destaque os custos potenciais de uma violação, como penalidades regulatórias, perda de confiança do cliente e tempo de inatividade operacional, em comparação com o custo de implementar medidas de segurança mais robustas. Essa abordagem pode ajudar a esclarecer o retorno sobre o investimento para as partes interessadas.
Gerenciamento Inadequado de Inventário: pare APIs de sombra
Descubra e deprecie
Mantenha um inventário autoritativo (esquemas OpenAPI/GraphQL, proprietários, auth, flags de PII) e compare o tráfego com as especificações para identificar endpoints não rastreados e versões antigas. Bloqueie merges em diffs de esquema e exija planos de depreciação para rotas v-1.
Bloqueie chamadas para subdomínios e hosts de teste não próprios em produção.
Alerte sobre endpoints sem autenticação recebendo PII.
Execute descoberta noturna para capturar novas rotas antes que os invasores o façam.
Garantindo o Consumo Seguro de APIs
Muitas aplicações modernas dependem de APIs de terceiros. Consumi-las cegamente pode introduzir vulnerabilidades, mesmo que suas próprias APIs sejam seguras. Riscos comuns incluem:
Respostas malformadas ou maliciosas de serviços externos.
Dados sensíveis expostos ao integrar APIs de terceiros.
Payloads externos não validados causando injeção ou ataques de lógica.
Melhores práticas para mitigar esses riscos:
Valide e sanitize todos os dados de APIs externas antes do uso.
Use validação de esquema para aplicar estruturas esperadas.
Aplique rate limits, timeouts e retentativas em chamadas externas.
Registre todas as interações para detectar comportamento incomum ou suspeito.
Consumo Inseguro de APIs: trate fornecedores como não confiáveis
Os limites de confiança não terminam no seu gateway
Valide e sanitize respostas de terceiros assim como faz com entradas de usuários. Aplique mTLS, timeouts/retentativas rigorosos e verificações de esquema em dados de entrada de parceiros; rotacione chaves e isole o tráfego de parceiros com saída separada e cotas.
Monitore desvios de esquema; falhe em mudanças inseguras.
Cache/enfileire para evitar falhas em cascata de parceiros.
Mantenha um interruptor para fornecedores comprometidos.
Principais Riscos de Segurança de API em 2025
Compreender as principais ameaças às suas APIs é fundamental para construir aplicações modernas e seguras. Aqui está uma visão geral dos riscos de segurança de API mais urgentes que desenvolvedores e equipes de segurança devem observar este ano:
Broken Object Level Authorization: Os invasores exploram falhas na forma como as APIs gerenciam o acesso a recursos identificados por IDs fornecidos pelo usuário. Sem verificações rigorosas de permissão, é possível para os usuários obter acesso não autorizado simplesmente ajustando identificadores de objeto.
Autenticação Quebrada: Autenticação fraca ou implementada incorretamente permite que invasores sequestrem tokens ou dados de sessão, levando à tomada de conta e violações de privacidade. Garantir robustez na autenticação, como usar OAuth 2.0 e MFA, é inegociável.
Broken Object Property Level Authorization: As APIs às vezes falham em restringir adequadamente o acesso no nível de propriedade individual, vazando dados sensíveis ou permitindo que usuários modifiquem campos que não deveriam. A validação de autorização robusta é essencial, tanto no nível do objeto quanto da propriedade.
Unrestricted Resource Consumption: As APIs são gateways para recursos do sistema (largura de banda, CPU, serviços de mensagens). Muitas solicitações sem filtro, maliciosas ou não, podem aumentar os custos, impactar o desempenho ou desencadear condições de negação de serviço.
Broken Function Level Authorization: Nem todas as funções de API são iguais. Se não houver separação clara entre operações de admin e regulares, os invasores podem escalar privilégios e acessar funções destinadas a admins, expondo sistemas a uso indevido crítico.
Acesso Irrestrito a Fluxos de Negócios Sensíveis: Alguns processos de negócios (como compras de ingressos ou comentários em massa) são expostos via APIs sem salvaguardas contra automação. Isso pode ser abusado para fraude, cambismo ou spam, prejudicando tanto os usuários quanto o negócio.
Server-Side Request Forgery (SSRF): Quando as APIs buscam recursos remotos sem validar URLs fornecidas pelo usuário, os invasores podem fazer seu servidor atuar como proxy, visando sistemas internos ou endpoints de metadados de nuvem tipicamente protegidos do acesso público.
Configuração Incorreta de Segurança: Configurações complexas frequentemente levam a riscos esquecidos. Lacunas em implantações ou padrões fracos abrem vulnerabilidades, portanto, auditorias regulares e adesão às melhores práticas são críticas.
Gerenciamento Inadequado de Inventário: Perder o controle de endpoints expostos, versões de API desatualizadas ou interfaces de teste/debug leva a APIs de sombra e superfícies de ataque desnecessárias. Manter documentação e inventários detalhados e atuais ajuda a fechar essas portas.
Consumo Inseguro de APIs de Terceiros: Confiar em dados de APIs externas sem escrutínio adequado pode introduzir riscos, fraquezas de cadeia de suprimento, padrões de segurança mais baixos e violações indiretas podem entrar por essas integrações.
Veja também: checklist de segurança de API, ataques de API, vulnerabilidades comuns de API
Ao reconhecer esses riscos centrais, você pode priorizar defesas e construir APIs resilientes contra ameaças modernas.
Risco OWASP 2023 | Exploração típica | Teste de CI a adicionar | Correções principais |
|---|---|---|---|
API1 BOLA | Acesso a ID entre tenants | Troque ID para tenant estrangeiro, espere 403 | Verificações de autorização por objeto; IDs opacos |
API2 Autenticação Quebrada | Reutilização/força bruta de token | Token expirado/inválido, espere 401 | Tokens de curta duração, rotação, MFA |
API3 BOPLA | Sobrescrita de campo oculto | Adicione | Lista de permissões de campos; autorização em nível de campo |
API4 Recurso | Spam de rotas caras | Limite k6 p95 menor que 400ms | Cotas, limites de taxa/tamanho |
API5 BFLA | Chamar função de admin | Não-admin chama admin, espere 403 | RBAC/ABAC; isolamento de rota |
API6 Fluxos de Negócios | Cambismo no checkout | Repetições rápidas, espere 429 | Tokens de etapa; regras de velocidade |
API7 SSRF | Buscar URL de metadados | URL de IP privado deve retornar 400 | Lista de negação de intervalos; IMDSv2 |
API8 Configuração Incorreta | Debug em produção | Rastreie | Endureça cabeçalhos/env; verificações IaC |
API9 Inventário | API de sombra v1 | Chame rota desconhecida, espere 403 | Diff especificação-tráfego; depreciações |
API10 Consumo Inseguro | Resposta de parceiro contaminada | Falha em incompatibilidade de esquemas | mTLS; verificação de esquema; interruptor |
Como Corrigir Vulnerabilidades de API
Corrigir vulnerabilidades de API envolve colocar em camadas diferentes medidas de segurança para proteger contra as ameaças do OWASP Top 10. Cada camada aborda riscos específicos, trabalhando juntas para construir uma defesa mais robusta.
Configurando Autenticação e Autorização Robustas
A autenticação confirma a identidade do usuário, enquanto a autorização determina quais ações ele tem permissão de realizar. Para proteger sua API:
Use OAuth 2.0 e JWT para autenticação sem senha. Para gerar chaves de API de teste durante o desenvolvimento, experimente o nosso Gerador de Chaves de API.
Adicione Autenticação Multifator (MFA) para aplicações sensíveis.
Implemente Role-Based Access Control (RBAC) com o princípio do menor privilégio, concedendo aos usuários apenas as permissões de que precisam.
Garanta gerenciamento seguro de token:
Use HTTPS para todas as chamadas de API.
Rotacione tokens regularmente.
Defina políticas de expiração.
Armazene tokens com segurança.
Essas etapas abordam diretamente as vulnerabilidades de Autenticação Quebrada descritas no OWASP Top 10. Se você está apenas começando, nosso guia API Security 101 cobre os fundamentos de autenticação e estratégias de defesa em camadas.
Uma vez que a autenticação esteja em vigor, o próximo passo é validar e sanitizar todos os dados de entrada para bloquear potenciais vetores de ataque.
Validando e Sanitizando Dados de Entrada
Validação e sanitização de entrada são cruciais para se defender contra ataques de injeção e manipulação de dados. Como a maioria das vulnerabilidades decorre do tratamento inadequado de entrada, concentre-se nestas práticas:
Use validação no lado do servidor como sua principal defesa.
Previna injeção de SQL usando consultas parametrizadas e declarações preparadas.
Defina regras rígidas de entrada por meio de validação por lista de permissões, permitindo apenas caracteres, formatos e valores aceitáveis.
Sanitize a saída para bloquear ataques de cross-site scripting (XSS) codificando caracteres especiais antes de incluí-los nas respostas.
Veja como lidar com diferentes tipos de entrada de forma eficaz:
Tipo de Entrada | Técnicas Recomendadas | Exemplo |
|---|---|---|
Expressões Regulares, Validação de E-mail |
| |
Senha | Comprimento de String, Verificações de Caractere Especial | Pelo menos 8 caracteres, incluindo números e símbolos |
Idade | Validação de Intervalo | Deve estar entre 18 e 65 |
Evite expor detalhes sensíveis do sistema em mensagens de erro. Em vez disso, use respostas genéricas que informem os usuários sem revelar configurações ou lógica interna.
Além disso, remova caracteres desnecessários das entradas usando expressões regulares. Por exemplo, permita apenas caracteres alfanuméricos ou símbolos específicos para reduzir o risco de conteúdo prejudicial entrar no seu sistema.
Com a validação de entrada assegurada, o próximo foco é gerenciar o tráfego para prevenir abusos.
Aplicando Rate Limiting e Throttling
Rate limiting e throttling ajudam a proteger APIs de uso indevido enquanto mantêm desempenho confiável para usuários legítimos. Dependendo das necessidades da sua API, você pode usar diferentes algoritmos:
Janela Fixa: Simples.
Janela Deslizante: Oferece controle mais suave.
Token Bucket: Lida efetivamente com picos de tráfego.
Leaky Bucket: Garante um fluxo constante de solicitações.
Gateways de API facilitam a aplicação dessas regras e o gerenciamento centralizado do tráfego.
Defina limites de taxa em camadas com base no tipo de endpoint e padrões de uso. Por exemplo:
Tipo de Endpoint | Limite de Taxa (com Burst) | Justificativa |
|---|---|---|
Upload/Download de Arquivo | 10/minuto (burst: 15) | Alto consumo de recursos |
Operações de Leitura | 1000/minuto (burst: 1500) | Impacto mínimo em recursos |
Operações de Escrita | 100/minuto (burst: 150) | Uso moderado de recursos |
Consultas de Busca | 300/minuto (burst: 450) | Tarefas intensivas em CPU |
Monitore métricas como padrões de solicitação, taxas de erro e carga do servidor para ajustar limites dinamicamente. Durante picos, o rate limiting dinâmico pode reduzir a carga do servidor em até 40% enquanto mantém a disponibilidade.
Comunique os limites de taxa claramente nos cabeçalhos de resposta da API. Inclua informações como X-RateLimit-Limit, X-RateLimit-Remaining e X-RateLimit-Reset, para que os clientes possam monitorar seu uso e planejar solicitações de acordo.
Use circuit breakers para prevenir falhas em cascata em serviços downstream. Se um serviço ficar sobrecarregado, os circuit breakers interrompem temporariamente as solicitações, dando ao sistema tempo para se recuperar.
Defina janelas de tempo e durações de bloqueio adequadas para gerenciar abusos efetivamente. Por exemplo:
Use janelas de 15 a 60 minutos para rastrear solicitações.
Aplique bloqueios de 5 a 30 minutos para restrições temporárias.
Implemente períodos de redefinição de 24 horas para cotas de uso.
"Rate limiting de API é, em poucas palavras, limitar o acesso de pessoas (e bots) à API com base nas regras/políticas definidas pelo operador ou proprietário da API." - DataDome
Usando Ferramentas de Segurança de API com AI com o Qodex
Testes de segurança manuais podem ser um processo lento, frequentemente deixando vulnerabilidades críticas despercebidas. O Qodex adota uma abordagem proativa para testes de segurança de API, aproveitando AI para detectar automaticamente problemas e criar cenários de teste alinhados com os padrões do OWASP Top 10. Essa estratégia automatizada garante proteção contínua ao abordar vulnerabilidades à medida que surgem.
Detecção Automatizada de Vulnerabilidades de API
O Qodex emprega AI para analisar endpoints de API e gerar cenários de teste focados em segurança com base no OWASP Top 10. Ele cobre todas as principais vulnerabilidades, desde Broken Object Level Authorization (BOLA) até Log e Monitoramento Insuficientes.
Tudo que você precisa fazer é fazer upload da sua coleção de API (o Qodex importa arquivos Postman, Swagger e OpenAPI, veja nosso resumo de alternativas ao Postman se você estiver avaliando o espaço), e a AI do Qodex criará testes direcionados. Por exemplo, ela identifica controles de autenticação fracos ou ausentes para abordar Autenticação Quebrada. Para Exposição Excessiva de Dados, identifica dados sensíveis ou campos superexpostos nas respostas da API. Também verifica vulnerabilidades de Mass Assignment ao verificar se as APIs processam campos inesperados.
"O Qodex.ai entende nosso produto e escreve todos os cenários, unitários, integração e auditorias de segurança, sem intervenção humana. Também fornece um log de releases." - Vishal C, Co-Founder e CTO, Small-Business [4]
A plataforma se adapta automaticamente quando as APIs mudam, mantendo seus testes de segurança atualizados sem exigir ajustes manuais. Para iniciar os testes do OWASP Top 10, basta usar o AI Agent e digitar comandos como "Execute OWASP Top 10 nas minhas APIs" ou "Teste problemas comuns de segurança de API." A AI avaliará seus endpoints e gerará cenários de teste de segurança personalizados.
Testes de API Sem Código para Cenários OWASP Top 10
Os testes de segurança tradicionais frequentemente exigem habilidades avançadas de codificação, mas o Qodex remove essa barreira habilitando a criação de testes sem código. Desenvolvedores e gerentes de produto podem escrever casos de teste de segurança em inglês puro, eliminando a necessidade de experiência em frameworks complexos ou programação.
"Ele fornece uma interface simples para escrever casos de teste. Nós apenas digitamos em português e ele converte no caso de teste exato. Isso facilita para desenvolvedores e gerentes de produto testarem seu código e requisitos." - Debbie M, Gerente de Marketing, Small-Business [4]
Com essa abordagem, criar suites de teste OWASP Top 10 é tão simples quanto descrever o problema. Por exemplo, digitar "Verifique se os usuários podem acessar os dados de outros usuários" gera testes para Broken Object Level Authorization, enquanto "Teste injeção de SQL em formulários de login" cria cenários para Ataques de Injeção.
Essa acessibilidade capacita equipes em todos os níveis, permitindo que desenvolvedores e gerentes identifiquem riscos potenciais de segurança sem depender de especialistas em segurança dedicados.
"A melhor parte são seus cenários de teste que desenvolvedores e PMs podem criar por conta própria. É muito fácil de usar e integrar com pipelines de CI/CD." - Kulsoom S, Gerente de Engenharia, Small-Business
Segurança Contínua e Integração com CI/CD
O Qodex não apenas simplifica a criação de testes: garante segurança contínua ao se integrar perfeitamente aos fluxos de trabalho de desenvolvimento modernos.
Testes de segurança são um processo contínuo, não uma tarefa única. O Qodex se integra facilmente com pipelines de CI/CD, permitindo monitoramento contínuo de segurança de API ao longo do ciclo de vida de desenvolvimento. Ele suporta integração com GitHub e automatiza varreduras e aplicação de políticas em cada etapa.
"Migramos todos os nossos testes manuais para testes de automação com o Qodex. Ele se integra facilmente com nossa ferramenta de CI/CD e ajuda a detectar bugs críticos." - Mohanlal R, Engenheiro de Software Sênior, Small-Business
Cada commit aciona testes automatizados do OWASP Top 10. Se vulnerabilidades forem encontradas, o Qodex fornece relatórios detalhados com etapas práticas de remediação, garantindo que os problemas sejam resolvidos antes de chegar à produção. Isso mantém padrões de segurança consistentes em todas as releases.
Para manter uma segurança robusta, execute testes OWASP Top 10 em novas coleções de API, inclua esses testes em jornadas críticas de usuário (como autenticação, pagamentos e tratamento de PII) e agende execuções completas de teste semanais em seus Planos de Teste. Dashboards permitem rastrear cobertura e tendências, enquanto relatórios ajudam a monitorar sua postura de segurança ao longo do tempo.
Construindo um Programa de Segurança de API Compatível com OWASP
Para garantir proteção de longo prazo para suas APIs, é essencial estabelecer um programa de segurança estruturado com base nos padrões OWASP. Com 84% das organizações experimentando incidentes de segurança de API no último ano, isso não é apenas uma precaução: é uma necessidade.
"As APIs são a espinha dorsal do mundo digital de hoje, conectando tudo, de aplicativos fintech a dispositivos domésticos inteligentes. Com as APIs impulsionando praticamente todas as experiências digitais, saber como configurar um framework de segurança de API não é apenas bom ter: é fundamental para o seu negócio."
Adrian Machado, Staff Engineer
A seguir, exploraremos etapas práticas para construir e manter um programa robusto de segurança de API.
Adicionando Segurança aos Fluxos de Trabalho de Desenvolvimento
Após avaliar riscos e documentar APIs, é hora de incorporar segurança ao seu processo de desenvolvimento. A segurança deve ser uma parte central dos seus fluxos de trabalho desde o início, não uma reflexão tardia. Por exemplo, cada pull request pode acionar varreduras de segurança automatizadas para detectar vulnerabilidades cedo.
Aqui estão algumas melhores práticas a adotar:
Use OAuth 2.0: Empregue tokens de acesso de curta duração (15 a 30 minutos) com tokens de atualização para equilibrar segurança com conveniência do usuário.
Defina Rate Limits: Adapte as regras de rate limiting ao comportamento de cada endpoint. Por exemplo, endpoints de autenticação podem exigir limites mais rigorosos do que outros.
Defina Políticas de Retenção de Dados: Limite o armazenamento de dados para reduzir a exposição. Isso se aplica a dados de usuários, logs, respostas em cache e arquivos temporários.
Automatize os Testes de Segurança: Integre varreduras automatizadas ao seu pipeline de CI/CD. Teste regularmente contra o OWASP Top 10 para garantir que o novo código não introduza vulnerabilidades.
Melhoria Contínua e Resposta a Incidentes
Manter uma postura robusta de segurança de API requer monitoramento contínuo e preparação para incidentes. Medidas preventivas sozinhas não são suficientes: você também precisa detectar e responder a ameaças em tempo real.
Monitore o Tráfego: Use monitoramento em tempo real para identificar atividades incomuns, como acesso inesperado a dados ou altos volumes de solicitações.
Implemente Logs Abrangentes: Crie trilhas de auditoria que capturam eventos de autenticação, padrões de acesso a dados, erros e violações de segurança. Esses logs são inestimáveis para investigações e conformidade.
Estabeleça Planos de Resposta a Incidentes: Desenvolva procedimentos passo a passo para lidar com incidentes comuns de segurança de API, como violações de dados ou ataques de negação de serviço. Atribua funções, defina canais de comunicação e descreva etapas de recuperação para garantir uma resposta rápida e coordenada.
Para manter suas defesas afiadas, conduza auditorias de segurança regulares e testes de penetração. Hackers éticos ou ferramentas automatizadas podem simular ataques do mundo real para descobrir fraquezas no seu sistema.
Por fim, invista em educação contínua para suas equipes. Forneça treinamento sobre práticas de codificação segura, validação de entrada e outros elementos essenciais de segurança de API, usando exemplos específicos para o seu stack tecnológico. Atualize regularmente essas sessões para abordar novas ameaças e desenvolvimentos do setor.
"Certamente estamos nos primeiros dias desse emergente espaço de segurança de API, mas pensando sobre segurança de API no futuro, ela vai se tornar a própria fundação para aplicações modernas."
Tyler Reynolds, Senior Solution Architect na Kong e Channel e GTM Director na Traceable.ai
GraphQL e gRPC: onde os riscos se mapeiam
O GraphQL concentra riscos de BOPLA no nível de campo, aplique consultas persistentes, limites de profundidade/complexidade e listas de permissões baseadas em esquema para campos sensíveis. Para gRPC, trate mudanças em .proto como contratos: exija evolução de campo compatível com versões anteriores, aplique deadlines e verifique retry/backoff para evitar esgotamento de recursos. Esses guardrails mapeiam diretamente para os riscos API2, API3, API4 e API5.
Automatize verificações OWASP no seu pipeline
Faça shift-left executando lint de OpenAPI, testes negativos de authZ e um smoke DAST em cada PR; falhe merges em descobertas de alta severidade. Fluxo de exemplo: Spectral (lint de spec), Newman (testes negativos), ZAP Baseline (DAST) em staging.
Isso reflete a orientação de "shift-left" dos concorrentes, mas de uma forma pronta para uso pelos seus leitores.
Relacionado: Principais Fornecedores de Segurança de API: Compare Recursos e Serviços
Conclusão: Pontos Chave para Segurança de API
Garantindo Segurança de API em Sistemas Digitais Modernos
A segurança de API é essencial para proteger seus sistemas digitais contra ameaças cada vez mais sofisticadas. Com ataques de API aumentando mais de 300% ano a ano e broken object-level authorization responsável pela maioria das violações de API relatadas, abordar o OWASP API Security Top 10 deve ser uma prioridade máxima.
Violações do mundo real frequentemente exploram vulnerabilidades como manipulação de IDs de objetos ou exposição de dados excessivos. Para combater esses riscos, medidas robustas de autenticação e autorização são críticas. Para um checklist prático, veja nossas 15 melhores práticas de segurança de API para 2026. Isso inclui autenticação multifator, gerenciamento seguro de sessão e controles de acesso rigorosos. Além de autenticação e autorização robustas, é vital considerar os recursos que sua API consome com cada solicitação, como largura de banda de rede, CPU, memória, armazenamento e até mesmo serviços auxiliares como e-mails, SMS ou verificação por telefone. Se não verificados, o consumo irrestrito de recursos pode deixar suas APIs abertas a ataques de negação de serviço ou picos inesperados em custos operacionais que podem pegar sua equipe de surpresa.
Além disso, estratégias como rate limiting, cotas de recursos e throttling de API podem mitigar ataques de negação de serviço, garantindo que suas APIs permaneçam acessíveis a usuários legítimos mesmo durante um ataque.
Esses controles práticos ajudam a prevenir que um único cliente, ou um ator malicioso, sobrecarregue sua infraestrutura, enquanto também protegem seus resultados financeiros de taxas de uso excessivas. Atender solicitações de API consome recursos valiosos: largura de banda de rede, CPU, memória e armazenamento. Alguns provedores de serviços até estendem recursos intensivos, como envio de e-mails, SMS ou realização de validação biométrica, via integrações de API, frequentemente com um custo por solicitação. Se não verificados, os invasores podem abusar desses endpoints, aumentando as despesas operacionais ou sobrecarregando sua infraestrutura. Ao controlar proativamente a alocação de recursos e aplicar limites de uso, você protege tanto o desempenho do seu sistema quanto seus resultados financeiros. Essas etapas proativas lançam as bases para integrar soluções de segurança automatizadas.
Dada a complexidade dos ambientes modernos de API, os testes manuais sozinhos não são mais suficientes. Ferramentas automatizadas, como DAST e plataformas com AI, desempenham um papel fundamental na identificação e resolução de vulnerabilidades em tempo real. O Gartner prevê que até 2025, mais da metade dos incidentes de roubo de dados se originarão de APIs inseguras. Ferramentas como o Qodex agilizam esse processo automatizando a detecção de vulnerabilidades, habilitando testes sem código para cenários OWASP e integrando-se perfeitamente a pipelines de CI/CD. Isso permite que as equipes identifiquem e resolvam problemas de segurança cedo no desenvolvimento, mantenham a conformidade e minimizem os riscos associados aos testes manuais.
A segurança de API não é um esforço único: requer vigilância contínua. Auditorias regulares, documentação atualizada e detecção proativa de ameaças são vitais. Práticas como validação de entrada e adesão ao princípio do menor privilégio ajudam a minimizar riscos garantindo que dados sensíveis sejam acessíveis apenas a usuários autorizados. Problemas comuns, como configuração incorreta de segurança e gerenciamento inadequado de inventário, podem ser abordados mantendo a documentação atualizada, seguindo as melhores práticas estabelecidas e automatizando verificações de configuração.
O OWASP API Security Top 10 evolui regularmente para abordar novas ameaças e métodos de ataque. Manter-se informado sobre essas atualizações é crucial para manter uma postura de segurança robusta. Ao aplicar as estratégias discutidas neste guia e aproveitar ferramentas de segurança modernas, você pode criar uma defesa resiliente contra as vulnerabilidades de API que poderiam comprometer os dados e a reputação da sua organização.
Perguntas Frequentes
O que são as vulnerabilidades do OWASP Top 10?
As vulnerabilidades do OWASP Top 10 representam os riscos de segurança mais críticos identificados pelo Open Web Application Security Project. Essas categorias destacam falhas comuns como ataques de injeção, autenticação quebrada e referências a objetos inseguras que os hackers frequentemente exploram. O OWASP Top 10 atua como um documento padrão de conscientização que ajuda desenvolvedores, testadores e engenheiros de segurança a entender onde concentrar seus esforços de defesa e como priorizar os testes de segurança de API.
O que são os padrões OWASP?
Os padrões OWASP são melhores práticas e frameworks globalmente reconhecidos criados para aprimorar a segurança de software e API. Eles fornecem diretrizes estruturadas para codificação segura, modelagem de ameaças e gerenciamento de riscos. Ao seguir os padrões OWASP, as organizações garantem conformidade com as expectativas modernas de segurança e estabelecem uma abordagem proativa para identificar e mitigar vulnerabilidades antes que levem a violações.
O que são as diretrizes OWASP?
As diretrizes OWASP são recomendações detalhadas voltadas para desenvolvedores e equipes de segurança para projetar, construir e manter aplicações web e de API seguras. Essas diretrizes cobrem tudo, desde validação de entrada até gerenciamento de sessão e controle de acesso. Seguir as diretrizes OWASP ajuda as equipes a alinhar seus processos de desenvolvimento com medidas de segurança comprovadas, reduzindo a exposição a vulnerabilidades do OWASP Top 10 e melhorando a resiliência geral da aplicação.
O que são os princípios OWASP?
Os princípios OWASP são filosofias de segurança fundamentais que promovem a construção de aplicações com segurança por design. Eles enfatizam princípios como menor privilégio, defesa em profundidade e padrões seguros. Quando esses princípios são integrados em cada fase de desenvolvimento, eles ajudam a reduzir erros humanos, prevenir configurações incorretas e estabelecer uma cultura de segurança consistente em equipes e tecnologias.
O que são as vulnerabilidades OWASP?
As vulnerabilidades OWASP referem-se a fraquezas de segurança comuns identificadas pela comunidade OWASP por meio de dados e pesquisas do mundo real. Isso inclui problemas como controle de acesso quebrado, falhas criptográficas e falhas de injeção que apresentam riscos graves à integridade dos dados e à privacidade dos usuários. Compreender as vulnerabilidades OWASP ajuda os desenvolvedores a priorizar testes, melhorar a higiene do código e adotar melhores estratégias de mitigação de riscos.
O que são as ferramentas OWASP?
As ferramentas OWASP são utilitários e frameworks de código aberto projetados para ajudar desenvolvedores e especialistas em segurança a detectar, analisar e corrigir vulnerabilidades de forma eficiente. Ferramentas populares como OWASP ZAP, Dependency-Check e WebGoat auxiliam em testes de penetração, varredura de dependências e educação sobre codificação segura. Aproveitar essas ferramentas permite testes contínuos de segurança de API e ajuda a alinhar suas aplicações com as melhores práticas do OWASP Top 10.
Discover, Test, & Secure your APIs 10x Faster than before
Auto-discover every endpoint, generate functional & security tests (OWASP Top 10), auto-heal as code changes, and run in CI/CD - no code needed.
Related Blogs
