{"id":2056,"date":"2023-05-24T12:42:34","date_gmt":"2023-05-24T15:42:34","guid":{"rendered":"https:\/\/www.xlabs.com.br\/blog\/?p=2056"},"modified":"2023-08-31T21:00:13","modified_gmt":"2023-09-01T00:00:13","slug":"owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis","status":"publish","type":"post","link":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/","title":{"rendered":"OWASP Top 10 APIs: o que fazer para proteger suas APIS?"},"content":{"rendered":"\n<p>Recentemente a organiza\u00e7\u00e3o OWASP liberou a <em>Release Candidate <\/em>(RC) das dez vulnerabilidades mais comuns em APIs (<em>Application Programming Interface<\/em>). De modo geral, a RC serve para que desenvolvedores, pesquisadores e entusiastas possam contribuir com o <em>ranking <\/em>por meio de coment\u00e1rios e sugest\u00f5es de modo que exista um ajuste fino das vulnerabilidades, visando o lan\u00e7amento da vers\u00e3o final do guia, previsto ainda para 2023.<\/p>\n\n\n\n<p>Neste artigo, discutiremos a RC falando sobre as vulnerabilidades elencadas nessa vers\u00e3o inicial do guia, comentando o funcionamento de cada item e, tamb\u00e9m, descrevendo algumas das principais formas de preven\u00e7\u00e3o.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1 class=\"has-text-align-left\">API 1: 2023 &#8211; Broken Object Level Authorization<\/h1>\n\n\n\n<p>A vulnerabilidade de <em>Broken Object Level Authorization<\/em> trata de uma falha que permite que um determinado usu\u00e1rio consiga acesso indevido a objetos que n\u00e3o lhe pertencem. Com esta falha, um usu\u00e1rio mal intencionado pode obter acesso \u00e0 dados de outros usu\u00e1rios como, tamb\u00e9m, acesso \u00e0s informa\u00e7\u00f5es da aplica\u00e7\u00e3o consideradas confidenciais.<\/p>\n\n\n\n<p>Para explorar esta vulnerabilidade o atacante pode simplesmente manipular determinado campo da requisi\u00e7\u00e3o efetuada a alguma API, como por exemplo um campo de ID. Nesta situa\u00e7\u00e3o, se a API alvo for de fato vulner\u00e1vel, ela n\u00e3o far\u00e1 nenhuma verifica\u00e7\u00e3o de permiss\u00e3o de acesso ao objeto requisitado, ocasionando uma viola\u00e7\u00e3o de seguran\u00e7a.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Como preven\u00e7\u00e3o, o projeto OWASP elenca os seguintes t\u00f3picos para melhorar a seguran\u00e7a da API neste tipo de vulnerabilidade:<\/p>\n\n\n\n<ul>\n<li>Criar mecanismos de seguran\u00e7a que validem a permiss\u00e3o de acesso a objetos por meio de pol\u00edticas de usu\u00e1rio e hierarquia;<\/li>\n\n\n\n<li>Usar valores rand\u00f4micos e imprevis\u00edveis para IDs como GUIDs;<\/li>\n\n\n\n<li>Criar su\u00edtes de testes para validar a seguran\u00e7a da API.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 2: 2023 &#8211; Broken Authentication<\/h1>\n\n\n\n<p><em>Broken Authentication<\/em> \u00e9 uma vulnerabilidade relacionada a um mecanismo de autentica\u00e7\u00e3o da API que n\u00e3o verifica apropriadamente um usu\u00e1rio antes de conceder acesso a setores restritos.<\/p>\n\n\n\n<p>Por meio dessa vulnerabilidade, um atacante pode se autenticar em nome de outro usu\u00e1rio, nomear usu\u00e1rios e senhas por meio de ataque de for\u00e7a bruta e efetuar a\u00e7\u00f5es maliciosas em nome de outros usu\u00e1rios.<\/p>\n\n\n\n<p>Uma API est\u00e1 vulner\u00e1vel em <em>Broken<\/em> <em>Authentication<\/em> quando apresenta mecanismos de autentica\u00e7\u00e3o fracos ou, quando apresenta uma implementa\u00e7\u00e3o fraca do mecanismo, sem levar em considera\u00e7\u00e3o diversos vetores de ataques.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Para prevenir a vulnerabilidade, os seguintes t\u00f3picos s\u00e3o indicados:<\/p>\n\n\n\n<ul>\n<li>Garantir que todos os fluxos de autentica\u00e7\u00e3o est\u00e3o especificados;<\/li>\n\n\n\n<li>Evitar &#8220;reinventar a roda&#8221; na \u00e1rea de autentica\u00e7\u00e3o mediante API, focar no que a literatura sugere;<\/li>\n\n\n\n<li>Implementar mecanismos para mitigar ataques de for\u00e7a bruta em todos os <em>endpoints<\/em> da API;<\/li>\n\n\n\n<li>Exigir uma nova autentica\u00e7\u00e3o para opera\u00e7\u00f5es sens\u00edveis.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 3: 2023 &#8211; Broken Object Property Level Authorization<\/h1>\n\n\n\n<p><em>Broken Object Property Level Authorization<\/em> refere-se a um problema em que a API vulner\u00e1vel n\u00e3o consegue controlar com precis\u00e3o o acesso a propriedades sens\u00edveis de um objeto. Nesse sentido, um atacante que explorar essa falha pode modificar ou sequestrar dados por meio do corpo de uma requisi\u00e7\u00e3o.<\/p>\n\n\n\n<p>Para conseguir acesso a informa\u00e7\u00f5es sens\u00edveis, um usu\u00e1rio mal intencionado pode manipular requisi\u00e7\u00f5es testando v\u00e1rias formata\u00e7\u00f5es distintas. Ferramentas de automa\u00e7\u00e3o podem auxiliar nesse processo, auxiliando o atacante na busca por propriedades sens\u00edveis em objetos.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>As seguintes sugest\u00f5es visam minimizar o problema de <em>Broken Object Property Level Authorization<\/em>:<\/p>\n\n\n\n<ul>\n<li>Garantir que o usu\u00e1rio respons\u00e1vel pela requisi\u00e7\u00e3o tenha acesso ao objeto retornado;<\/li>\n\n\n\n<li>Assegurar com o usu\u00e1rio s\u00f3 possa realizar mudan\u00e7as em dados que deveria ter acesso;<\/li>\n\n\n\n<li>Evitar m\u00e9todos gen\u00e9ricos para manipula\u00e7\u00e3o dados como to_json() e to_string(), e definir em alta especificidade as propriedades retornadas;<\/li>\n\n\n\n<li>Implementar respostas a requisi\u00e7\u00f5es baseadas em esquemas.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 4: 2023 &#8211; Unrestricted Resource Consumption<\/h1>\n\n\n\n<p><em>Unrestricted Resource Consumption<\/em>, como o pr\u00f3prio nome sugere, \u00e9 um problema na defini\u00e7\u00e3o de limites no que tange \u00e0 utiliza\u00e7\u00e3o de recursos de uma API. Desta maneira, um usu\u00e1rio malicioso pode gerar dezenas de requisi\u00e7\u00f5es concorrentemente exaurindo recursos destinados a API como mem\u00f3ria, limite de banda, espa\u00e7o em disco, uso de processos, etc.<\/p>\n\n\n\n<p>Diversos problemas podem surgir em decorr\u00eancia do esgotamento de recursos da API, como por exemplo, posterga\u00e7\u00e3o indefinida de retorno de resposta e indisponibilidade do servi\u00e7o.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Os seguintes t\u00f3picos s\u00e3o indicados para evitar a <em>Unrestricted Resource Consumption<\/em>:<\/p>\n\n\n\n<ul>\n<li>Implantar solu\u00e7\u00f5es que facilitem a defini\u00e7\u00e3o de limite de recursos, como containeres;<\/li>\n\n\n\n<li>Definir limites de tamanho para dados de <em>input<\/em> para par\u00e2metros e propriedades dos objetos;<\/li>\n\n\n\n<li>Implementar t\u00e9cnicas de <em>rate limit<\/em> para cada cliente;<\/li>\n\n\n\n<li>Definir valida\u00e7\u00f5es no lado servidor que especifiquem um limite m\u00e1ximo de entradas na resposta.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 5: 2023 &#8211; Broken Function Level Authorization<\/h1>\n\n\n\n<p>Em <em>Broken Function Level Authorization<\/em>, um usu\u00e1rio consegue ter acesso a fun\u00e7\u00f5es da API que n\u00e3o deveria. Desta forma, um usu\u00e1rio mal intencionado pode usufruir de um <em>endpoint<\/em> exposto para performar ataques que alterem, modifiquem ou excluam dados.<\/p>\n\n\n\n<p>Para investigar se uma API encontra-se vulner\u00e1vel, usu\u00e1rios podem usar ferramentas automatizadas para procurar <em>endpoints<\/em>. Uma vez encontrado um <em>endpoint<\/em> com fun\u00e7\u00f5es de n\u00edvel administrativo, ataques s\u00e3o performados para manusear dados por meio deste <em>endpoint<\/em>.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>As seguintes sugest\u00f5es s\u00e3o indicadas para prevenir <em>Broken Function Level Authorization<\/em>:<\/p>\n\n\n\n<ul>\n<li>Revisar constante as permiss\u00f5es dos <em>endpoints<\/em> da API priorizando se <em>endpoints<\/em> de n\u00edvel administrativo est\u00e3o bloqueando acessos apropriadamente;<\/li>\n\n\n\n<li>Implementar um mecanismo que por padr\u00e3o efetue bloqueios em todo tipo de acesso, especificando se cada tipo de cliente tem acesso a cada tipo de <em>endpoint<\/em>.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 6: 2023 &#8211; Server Side Request Forgery<\/h1>\n\n\n\n<p><em>Server Side Request Forgery<\/em> (SSRF) \u00e9 um problema que ocorre quando uma API realiza uma requisi\u00e7\u00e3o a um recurso externo por meio de uma URL definida pelo pr\u00f3prio atacante. Uma API demonstra-se vulner\u00e1vel em SSRF quando algum dos <em>endpoints<\/em> exige uma URL como determinada propriedade do objeto envolvido na requisi\u00e7\u00e3o, realizando em seguida alguma coleta desse recurso provido pela URL maliciosa.<\/p>\n\n\n\n<p>&nbsp;Al\u00e9m da inje\u00e7\u00e3o de uma URL maliciosa no corpo da requisi\u00e7\u00e3o, \u00e9 poss\u00edvel tamb\u00e9m que a URL possa ser adicionada diretamente nos cookies, cabe\u00e7alhos ou at\u00e9 em setores das bibliotecas utilizadas pela aplica\u00e7\u00e3o.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Os seguinte itens s\u00e3o indicados para preven\u00e7\u00e3o da SSRF em APIs:<\/p>\n\n\n\n<ul>\n<li>Usar <em>whitelists<\/em> para definir:\n<ul>\n<li>Origens que a API pode interagir para adquirir determinado recurso (Google Drive, e.g.);<\/li>\n\n\n\n<li>Tipos de m\u00eddia permitidas;<\/li>\n\n\n\n<li>Schemas de URL e portas espec\u00edficas;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Isolar a funcionalidade de realizar requisi\u00e7\u00f5es recursos do resto da aplica\u00e7\u00e3o;<\/li>\n\n\n\n<li>Desabilitar redirecionamento de requisi\u00e7\u00f5es HTTP;<\/li>\n\n\n\n<li>Validar todo e qualquer arquivo adicionado pelo cliente.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 7: 2023 &#8211; Security Misconfiguration<\/h1>\n\n\n\n<p>Uma API que apresenta falha de <em>Security Misconfiguration<\/em> normalmente est\u00e1 com suas configura\u00e7\u00f5es de seguran\u00e7a mal formadas ou incompletas. Desta forma, um ataque consegue coletar informa\u00e7\u00f5es sigilosas ou at\u00e9 mesmo performar a\u00e7\u00f5es maliciosas devido a erros relacionados a erros de configura\u00e7\u00e3o.<\/p>\n\n\n\n<p>Para explorar a falha, \u00e9 poss\u00edvel que um usu\u00e1rio mal intencionado explore uma API em busca de padr\u00f5es e nomenclaturas previs\u00edveis, informa\u00e7\u00f5es sens\u00edveis em <em>logs<\/em> ou arquivos de configura\u00e7\u00f5es ou recursos de testes.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>V\u00e1rios t\u00f3picos s\u00e3o indicados para se evitar <em>Security Misconfiguration<\/em> em APIs, sendo algumas delas:<\/p>\n\n\n\n<ul>\n<li>Garantir um processo r\u00e1pido e preciso de <em>deploy<\/em>;<\/li>\n\n\n\n<li>Tarefas cont\u00ednuas de preview e checagem das configura\u00e7\u00f5es listadas nas aplica\u00e7\u00f5es;<\/li>\n\n\n\n<li>Implementar automa\u00e7\u00f5es que verifiquem se as configura\u00e7\u00f5es atendem ao prop\u00f3sito e se est\u00e3o devidamente protegidas;<\/li>\n\n\n\n<li>Implementar apropriadamente a configura\u00e7\u00e3o de <em>Cross-Origin Resource Sharing<\/em> (CORS);<\/li>\n\n\n\n<li>Garantir encripta\u00e7\u00e3o da comunica\u00e7\u00e3o cliente-servidor;<\/li>\n\n\n\n<li>Especificar detalhadamente quais fun\u00e7\u00f5es utilizam HTTP, todo o resto deve utilizar HTTPS.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 8: 2023 &#8211; Lack of Protection from Automated Threats<\/h1>\n\n\n\n<p>A falha de <em>Lack of Protection from Automated Threats<\/em> \u00e9 encontrada em APIs que n\u00e3o apresentam prote\u00e7\u00e3o a servi\u00e7os automatizados, como <em>bots<\/em> e <em>scrappers,<\/em> por exemplo. Esses servi\u00e7os podem exagerar na quantidade de requisi\u00e7\u00f5es efetuadas a uma API podendo causar indisponibilidade.<\/p>\n\n\n\n<p>Uma API demonstra-se vulner\u00e1vel quando em determinado <em>endpoint<\/em> ela permite que uma ferramenta automatizada possa exercer diversas requisi\u00e7\u00f5es concorrentemente.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Para evitar a <em>Lack of Protection from Automated Threats<\/em>, uma api deve:<\/p>\n\n\n\n<ul>\n<li>Identificar quais regras de neg\u00f3cio e fluxos da API n\u00e3o podem ser usados excessivamente;<\/li>\n\n\n\n<li>Escolher apropriadamente mecanismos de defesa para mitigar os riscos de ferramentas automatizadas para uma determinada regra de neg\u00f3cio;<\/li>\n\n\n\n<li>Identificar e limitar o acesso a API que est\u00e3o tendo como origem outras m\u00e1quinas.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 9: 2023 &#8211; Improper Inventory Management<\/h1>\n\n\n\n<p>Uma API demonstra-se vulner\u00e1vel em <em>Improper Inventory Management<\/em> quando apresenta uma gest\u00e3o ineficiente de suas vers\u00f5es datadas. Uma API datada e exposta pode conter recursos, como bibliotecas de terceiros, frameworks e outras ferramentas que, por estarem desatualizados, acabam sendo vetores de ataques onde o usu\u00e1rio mal intencionado consegue acesso a dados sens\u00edveis.<\/p>\n\n\n\n<p>Ainda, um dos principais riscos de se manter expostas as vers\u00f5es antigas de uma API \u00e9 que comumente elas ainda mant\u00eam acesso a pontos sens\u00edveis utilizados tamb\u00e9m pelas novas vers\u00f5es, como banco de dados por exemplo.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>A seguir, algumas dicas para se evitar a <em>Improper Inventory Management<\/em>:<\/p>\n\n\n\n<ul>\n<li>Apresentar uma documenta\u00e7\u00e3o robusta de todos os ambientes de API (produ\u00e7\u00e3o, pr\u00e9-produ\u00e7\u00e3o, homologa\u00e7\u00e3o e desenvolvimento);<\/li>\n\n\n\n<li>Documentar todos os servi\u00e7os que interagem com cada ambiente de API, mapeando corretamente todos os servi\u00e7os que utilizam dados sens\u00edveis;<\/li>\n\n\n\n<li>Utilizar sistemas de prote\u00e7\u00e3o para cada ambiente de API, n\u00e3o apenas o ambiente de produ\u00e7\u00e3o;<\/li>\n\n\n\n<li>Sempre que for necess\u00e1rio realizar corre\u00e7\u00f5es de uma API em termos de seguran\u00e7a, aplicar o <em>patch<\/em> para todos os ambientes e vers\u00f5es.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>API 10: 2023 &#8211; Unsafe Consumption of APIs<\/h1>\n\n\n\n<p>O problema de <em>Unsafe Consumption of APIs<\/em> se refere a APIs que consomem outras APIs sem validar e sanitizar os dados que est\u00e3o recebendo. Desta forma, uma API que consome outra API sem validar inputs corre o risco de que um invasor intercepte a comunica\u00e7\u00e3o entre elas e adultere os dados que ser\u00e3o enviados \u00e0 API solicitante.&nbsp;<\/p>\n\n\n\n<p>Uma vez que a comunica\u00e7\u00e3o entre APIs \u00e9 interceptada com sucesso, \u00e9 poss\u00edvel que um invasor consiga obter acesso a informa\u00e7\u00f5es sens\u00edveis que lhe d\u00eaem poder de ter acesso a outros setores da API alvo.<\/p>\n\n\n\n<h2>Preven\u00e7\u00e3o<\/h2>\n\n\n\n<p>Como preven\u00e7\u00e3o a <em>Unsafe Consumption of APIs<\/em>, sugere-se:&nbsp;<\/p>\n\n\n\n<ul>\n<li>Avaliar as pol\u00edticas de seguran\u00e7a de servi\u00e7os de terceiros utilizados pela API;<\/li>\n\n\n\n<li>Garantir que toda comunica\u00e7\u00e3o entre APIs ocorra em um canal de comunica\u00e7\u00e3o seguro com TLS;<\/li>\n\n\n\n<li>Sempre validar os dados recebidos por uma API integrada;<\/li>\n\n\n\n<li>Manter uma <em>whitelist<\/em> de apis permitidas, bloqueando todo o resto e evitando redirecionamentos.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h1>Conclus\u00e3o<\/h1>\n\n\n\n<p>A OWASP \u00e9 um projeto aberto de seguran\u00e7a em aplica\u00e7\u00f5es WEB que tem por objetivo elencar as vulnerabilidades mais comuns e, tamb\u00e9m, difundir as principais formas de se evitar que elas sejam exploradas.<\/p>\n\n\n\n<p>Indo al\u00e9m das vulnerabilidades espec\u00edficas de aplica\u00e7\u00f5es WEB, o projeto busca expandir o mesmo guia para \u00e1rea seguran\u00e7a de APIs, uma vez que estes recursos s\u00e3o amplamente utilizados por aplica\u00e7\u00f5es atrav\u00e9s da Internet.<\/p>\n\n\n\n<p>Neste artigo, abordamos as 10 vulnerabilidades mais presentes em APIs na <em>Release Candidate<\/em> do guia a OWASP, previsto para lan\u00e7amento no corrente ano. Para cada item, descrevemos em t\u00f3picos sugest\u00f5es que podem ajudar a evitar que cada vulnerabilidade seja explorada por usu\u00e1rios mal-intencionados. \u00c9 importante ressaltar que algumas das vulnerabilidades exibidas nessa RC podem ser mitigadas utilizando o WAF da XLabs Security.<\/p>\n\n\n\n<p>Para mais informa\u00e7\u00f5es a respeito da RC das dez vulnerabilidades mais comuns em APIs, voc\u00ea pode acessar a p\u00e1gina do projeto no Github clicando <a href=\"https:\/\/github.com\/OWASP\/API-Security\/tree\/master\/2023\/en\/src\">aqui<\/a>. Neste link voc\u00ea tamb\u00e9m encontrar\u00e1 em cada item da RC um guia detalhado contendo sobre como evitar que tais vulnerabilidades estejam presentes em sua API.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Recentemente a organiza\u00e7\u00e3o OWASP liberou a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs (Application Programming Interface). De modo geral, a RC serve para que desenvolvedores, pesquisadores e entusiastas possam contribuir com o ranking por meio de coment\u00e1rios e sugest\u00f5es de modo que exista um ajuste fino das vulnerabilidades, visando o lan\u00e7amento da [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":2058,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[265,239,345,327,99,97,109],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v20.0 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog<\/title>\n<meta name=\"description\" content=\"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog\" \/>\n<meta property=\"og:description\" content=\"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\" \/>\n<meta property=\"og:site_name\" content=\"XLabs Security Blog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/xlabs\" \/>\n<meta property=\"article:published_time\" content=\"2023-05-24T15:42:34+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-09-01T00:00:13+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/05\/owasp-top-10-apis-xlabs-blog.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1000\" \/>\n\t<meta property=\"og:image:height\" content=\"488\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Evelyn Rocha\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:title\" content=\"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog\" \/>\n<meta name=\"twitter:description\" content=\"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/05\/owasp-top-10-apis-xlabs-blog.jpg\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Evelyn Rocha\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"10 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\"},\"author\":{\"name\":\"Evelyn Rocha\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/186fa2419710709368bfa220767edb4b\"},\"headline\":\"OWASP Top 10 APIs: o que fazer para proteger suas APIS?\",\"datePublished\":\"2023-05-24T15:42:34+00:00\",\"dateModified\":\"2023-09-01T00:00:13+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\"},\"wordCount\":2029,\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"keywords\":[\"API\",\"owasp\",\"Release Candidate OWASP\",\"Vulnerabilidades\",\"WAF\",\"XLabs Web Application Firewall\",\"XLabs Web Firewall\"],\"articleSection\":[\"Artigos\"],\"inLanguage\":\"pt-BR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\",\"name\":\"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\"},\"datePublished\":\"2023-05-24T15:42:34+00:00\",\"dateModified\":\"2023-09-01T00:00:13+00:00\",\"description\":\"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/www.xlabs.com.br\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"OWASP Top 10 APIs: o que fazer para proteger suas APIS?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"name\":\"XLabs Security Blog\",\"description\":\"Seguran\u00e7a da Informa\u00e7\u00e3o\",\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\",\"name\":\"XLabs Security\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"contentUrl\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"width\":478,\"height\":168,\"caption\":\"XLabs Security\"},\"image\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.instagram.com\/xlabs.security\",\"https:\/\/www.linkedin.com\/company\/xlabs-security\/\",\"https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber\",\"https:\/\/www.facebook.com\/xlabs\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/186fa2419710709368bfa220767edb4b\",\"name\":\"Evelyn Rocha\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/fbfd8fc83a660edc367ca0dfbbb18e2e?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/fbfd8fc83a660edc367ca0dfbbb18e2e?s=96&d=mm&r=g\",\"caption\":\"Evelyn Rocha\"},\"sameAs\":[\"http:\/\/www.xlabs.com.br\"],\"url\":\"https:\/\/www.xlabs.com.br\/blog\/author\/evelyn-rocha\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog","description":"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/","og_locale":"pt_BR","og_type":"article","og_title":"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog","og_description":"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.","og_url":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/","og_site_name":"XLabs Security Blog","article_publisher":"https:\/\/www.facebook.com\/xlabs","article_published_time":"2023-05-24T15:42:34+00:00","article_modified_time":"2023-09-01T00:00:13+00:00","og_image":[{"width":1000,"height":488,"url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/05\/owasp-top-10-apis-xlabs-blog.jpg","type":"image\/jpeg"}],"author":"Evelyn Rocha","twitter_card":"summary_large_image","twitter_title":"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog","twitter_description":"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.","twitter_image":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/05\/owasp-top-10-apis-xlabs-blog.jpg","twitter_misc":{"Escrito por":"Evelyn Rocha","Est. tempo de leitura":"10 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#article","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/"},"author":{"name":"Evelyn Rocha","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/186fa2419710709368bfa220767edb4b"},"headline":"OWASP Top 10 APIs: o que fazer para proteger suas APIS?","datePublished":"2023-05-24T15:42:34+00:00","dateModified":"2023-09-01T00:00:13+00:00","mainEntityOfPage":{"@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/"},"wordCount":2029,"publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"keywords":["API","owasp","Release Candidate OWASP","Vulnerabilidades","WAF","XLabs Web Application Firewall","XLabs Web Firewall"],"articleSection":["Artigos"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/","url":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/","name":"OWASP Top 10 APIs: o que fazer para proteger suas APIS? &ndash; XLabs Security Blog","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#website"},"datePublished":"2023-05-24T15:42:34+00:00","dateModified":"2023-09-01T00:00:13+00:00","description":"Conhe\u00e7a a Release Candidate (RC) das dez vulnerabilidades mais comuns em APIs, liberada pela OWASP, e saiba como se proteger.","breadcrumb":{"@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.xlabs.com.br\/blog\/owasp-top-10-apis-o-que-fazer-para-proteger-suas-apis\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/www.xlabs.com.br\/blog\/"},{"@type":"ListItem","position":2,"name":"OWASP Top 10 APIs: o que fazer para proteger suas APIS?"}]},{"@type":"WebSite","@id":"https:\/\/www.xlabs.com.br\/blog\/#website","url":"https:\/\/www.xlabs.com.br\/blog\/","name":"XLabs Security Blog","description":"Seguran\u00e7a da Informa\u00e7\u00e3o","publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"https:\/\/www.xlabs.com.br\/blog\/#organization","name":"XLabs Security","url":"https:\/\/www.xlabs.com.br\/blog\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","contentUrl":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","width":478,"height":168,"caption":"XLabs Security"},"image":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.instagram.com\/xlabs.security","https:\/\/www.linkedin.com\/company\/xlabs-security\/","https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber","https:\/\/www.facebook.com\/xlabs"]},{"@type":"Person","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/186fa2419710709368bfa220767edb4b","name":"Evelyn Rocha","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/fbfd8fc83a660edc367ca0dfbbb18e2e?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/fbfd8fc83a660edc367ca0dfbbb18e2e?s=96&d=mm&r=g","caption":"Evelyn Rocha"},"sameAs":["http:\/\/www.xlabs.com.br"],"url":"https:\/\/www.xlabs.com.br\/blog\/author\/evelyn-rocha\/"}]}},"_links":{"self":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/2056"}],"collection":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2056"}],"version-history":[{"count":4,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/2056\/revisions"}],"predecessor-version":[{"id":2200,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/2056\/revisions\/2200"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/2058"}],"wp:attachment":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}