Waarom API-beveiliging cruciaal is
API's zijn de ruggengraat van moderne applicaties. Elke mobiele app, SaaS-platform en microservice-architectuur draait op API's. Maar deze connectiviteit brengt risico's met zich mee: API's zijn het meest aangevallen aanvalsoppervlak van moderne webapplicaties.
De OWASP API Security Top 10 identificeert de tien meest kritieke beveiligingsrisico's voor API's. Dit zijn geen theoretische risico's — ze worden dagelijks geëxploiteerd door aanvallers.
API1: Broken Object Level Authorization (BOLA)
Het probleem: de API controleert niet of de gebruiker gemachtigd is om het opgevraagde object te bekijken of te wijzigen.
Voorbeeld: een gebruiker wijzigt GET /api/orders/123 naar GET /api/orders/456 en ziet de bestelling van een andere klant.
Mitigatie:
- Autorisatiecontrole op elk endpoint, voor elk object
- UUID's in plaats van voorspelbare numerieke ID's
- Serverzijdige validatie van eigenaarschap
API2: Broken Authentication
Het probleem: zwakke of ontbrekende authenticatiemechanismen waardoor aanvallers identiteiten kunnen overnemen.
Veelgemaakte fouten:
- Geen rate limiting op login-endpoints
- Tokens die niet verlopen
- Credentials in URL-parameters
- Zwakke wachtwoord-reset flows
Mitigatie:
- Multi-factor authenticatie (MFA)
- Korte token-levensduur + refresh tokens
- Rate limiting en account lockout
- Standaard authenticatieframeworks (OAuth 2.0, OpenID Connect)
API3: Broken Object Property Level Authorization
Het probleem: de API geeft te veel objecteigenschappen terug of accepteert wijzigingen op eigenschappen die de gebruiker niet mag aanpassen.
Voorbeeld: een PATCH /api/users/me request dat ook role: "admin" bevat — en de API accepteert dit.
Mitigatie:
- Expliciete whitelisting van muteerbare velden
- Response filtering — alleen velden retourneren die de gebruiker mag zien
- Schema-validatie op inkomende requests
API4: Unrestricted Resource Consumption
Het probleem: de API legt geen beperkingen op aan resources (CPU, geheugen, bandbreedte, aantal requests).
Aanvalsscenario's:
- DDoS via onbeperkte requests
- Resource exhaustion via complexe queries
- Denial of wallet bij cloud-gehoste API's
Mitigatie:
- Rate limiting per gebruiker/IP/API-key
- Pagination met maximale paginagrootte
- Timeout op langlopende operaties
- Input-validatie op queryparameters (max diepte, max resultaten)
API5: Broken Function Level Authorization
Het probleem: de API controleert niet of de gebruiker gemachtigd is om een bepaalde functie aan te roepen.
Voorbeeld: een gewone gebruiker kan DELETE /api/admin/users/123 aanroepen omdat het endpoint niet op rol controleert.
Mitigatie:
- Rol-gebaseerde toegangscontrole (RBAC) op elk endpoint
- Standaard deny — alleen expliciet toegestane acties toelaten
- Scheiding van admin- en gebruikers-API's
API6: Unrestricted Access to Sensitive Business Flows
Het probleem: de API beschermt gevoelige bedrijfsprocessen niet tegen geautomatiseerd misbruik.
Voorbeelden:
- Bots die massaal producten opkopen
- Automatisch aanmaken van accounts voor spam
- Misbruik van promotiecodes of kortingen
Mitigatie:
- Bot-detectie (captcha, device fingerprinting)
- Business logic rate limiting (max X aankopen per uur)
- Monitoring van afwijkende patronen
API7: Server-Side Request Forgery (SSRF)
Het probleem: de API haalt resources op van een door de gebruiker opgegeven URL zonder validatie, waardoor interne systemen bereikbaar worden.
Mitigatie:
- URL-validatie met allowlist
- Geen directe forwarding van user-supplied URLs
- Netwerkisolatie van interne diensten
- Blokkeer private IP-ranges in uitgaande requests
API8: Security Misconfiguration
Het probleem: verkeerde configuratie van de API, server of infrastructuur.
Veelvoorkomend:
- CORS te ruim geconfigureerd (
Access-Control-Allow-Origin: *) - Stacktraces in productie-responses
- Standaard credentials niet gewijzigd
- Onnodige HTTP-methoden actief (TRACE, OPTIONS)
- Ontbrekende security headers
Mitigatie:
- Geautomatiseerde configuratiescans
- Hardening baselines per omgeving
- Regelmatige security header audits
API9: Improper Inventory Management
Het probleem: organisaties hebben geen volledig overzicht van hun API's, versies en endpoints.
Risico's:
- Vergeten API-versies met bekende kwetsbaarheden
- Shadow API's die buiten governance vallen
- Testomgevingen bereikbaar via internet
Mitigatie:
- API-catalogus met alle endpoints en versies
- Automatische detectie van endpoints (API discovery)
- Levenscyclusbeheer: sunset policy voor oude versies
- Scheiding test/staging/productie
API10: Unsafe Consumption of APIs
Het probleem: uw API vertrouwt blindelings data van externe API's zonder validatie.
Voorbeeld: uw applicatie integreert met een betaaldienst en valideert de response niet. Een aanvaller manipuleert de response via man-in-the-middle.
Mitigatie:
- Valideer alle responses van externe API's
- Gebruik TLS voor alle externe communicatie
- Implementeer timeouts en circuit breakers
- Verifieer certificaten van externe diensten
Samenvattingsmatrix
| # | Risico | Ernst | Frequentie | |---|---|---|---| | API1 | BOLA | Kritiek | Zeer vaak | | API2 | Broken Authentication | Kritiek | Vaak | | API3 | Broken Object Property Auth | Hoog | Vaak | | API4 | Unrestricted Resource Consumption | Hoog | Gemiddeld | | API5 | Broken Function Level Auth | Kritiek | Gemiddeld | | API6 | Sensitive Business Flows | Hoog | Gemiddeld | | API7 | SSRF | Hoog | Opkomend | | API8 | Security Misconfiguration | Gemiddeld | Zeer vaak | | API9 | Improper Inventory | Gemiddeld | Vaak | | API10 | Unsafe API Consumption | Gemiddeld | Opkomend |
Volgende stappen
API-beveiliging is geen eenmalige actie maar een doorlopend proces. Begin met een inventarisatie van uw API's en test ze systematisch tegen de OWASP Top 10.
Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.