Wat is de OWASP API Security Top 10?

De OWASP API Security Top 10 is een standaard bewustwordingsdocument met de meest kritieke API-beveiligingsrisico's. De editie van 2023 bevat: Broken Object Level Authorization (BOLA), Broken Authentication, Broken Object Property Level Authorization, Unrestricted Resource Consumption, Broken Function Level Authorization, Unrestricted Access to Sensitive Business Flows, Server Side Request Forgery, Security Misconfiguration, Improper Inventory Management en Unsafe Consumption of APIs.

Wat is het verschil tussen API-sleutels, OAuth en JWT?

API-sleutels zijn eenvoudige tokens die de aanroepende applicatie identificeren — ze bieden identificatie maar beperkte beveiliging. OAuth 2.0 is een autorisatieframework dat scoped, tijdgebonden toegangstokens verleent zonder referenties te delen. JWT (JSON Web Tokens) zijn zelfstandige tokens die claims bevatten die kunnen worden geverifieerd zonder een databaseopvraging. Best practice: gebruik OAuth 2.0 voor gebruikersautorisatie met JWT als tokenformaat, en API-sleutels alleen voor niet-gevoelige identificatie.

Wat is rate limiting en waarom is het essentieel voor API's?

Rate limiting beheert hoeveel verzoeken een client kan doen in een bepaald tijdsvenster. Het voorkomt denial-of-service-aanvallen (zowel opzettelijk als per ongeluk), beschermt backend-bronnen tegen overbelasting, voorkomt credential stuffing en brute force-aanvallen, beheert API-gebruikskosten en zorgt voor eerlijke toegang over consumenten. Implementeer rate limiting op meerdere niveaus: per API-sleutel, per gebruiker, per endpoint en globaal.

Hoe moet API-input worden gevalideerd?

API-inputvalidatie moet omvatten: schemavalidatie (verzoeken afwijzen die niet overeenkomen met het API-schema), typecontrole (correcte gegevenstypen waarborgen), lengtelimieten (bufferoverflows en DoS voorkomen), bereikvalidatie (numerieke bereiken controleren), formaatvalidatie (e-mails, URL's, datums valideren), allowlist-validatie (beperken tot bekende goede waarden waar mogelijk) en content-type-validatie (onverwachte content-types afwijzen). Valideer alle invoer — padparameters, querystrings, headers en verzoekinhoud.

Wat is een API-gateway en welke beveiliging biedt deze?

Een API-gateway is een reverse proxy die tussen clients en backendservices zit en biedt: gecentraliseerde authenticatie- en autorisatiehandhaving, rate limiting en throttling, verzoek-/responsvalidatie en -transformatie, TLS-terminatie, logging en monitoring, IP-allowlisting/-blocklisting en WAF-integratie. Populaire opties zijn onder meer Kong, AWS API Gateway, Azure API Management en Apigee.

Welke complianceframeworks vereisen API-beveiliging?

ISO 27001 (A.8.25-A.8.28 — Veilige ontwikkeling, codering en componentbeheer), SOC 2 (CC6.1, CC6.6 — Logische toegang en systeemgrenzen), NIS2 (Artikel 21(2)(e) — Beveiliging bij acquisitie, ontwikkeling en onderhoud van systemen), DORA (Artikel 8 — ICT-systemen en -protocollen) en PCI DSS (Vereiste 6 — Veilige systemen en applicaties) vereisen allemaal controles die direct van toepassing zijn op API-beveiliging.

Hoe monitort u API's op beveiligingsbedreigingen?

API-beveiligingsmonitoring moet omvatten: het loggen van alle API-verzoeken met metadata (bron-IP, gebruiker, endpoint, responscode, latentie), het detecteren van afwijkende patronen (ongebruikelijke volumes, geografische verschuivingen, foutenpieken), het monitoren op OWASP API Top 10-aanvalspatronen, het volgen van authenticatiefouten en referentiemisbruik, alertering bij blootstelling van gevoelige gegevens en het genereren van API-gebruiksanalyses. Voer API-logboeken naar uw SIEM voor correlatie met andere beveiligingsgebeurtenissen.

API-beveiliging: de complete gids voor beveiligings- en complianceteams

Published 8 mrt 2026

By Emre Salmanoglu

API-beveiliging: de complete gids voor beveiligings- en complianceteams

Q: Wat is API-beveiliging?

API-beveiliging omvat de praktijken, tools en architecturen die applicatie-programmeerinterfaces (API's) beschermen tegen misbruik, ongeautoriseerde toegang en gegevensblootstelling. Naarmate API's de primaire manier worden waarop applicaties communiceren, vertegenwoordigen ze een groeiend aanvalsoppervlak dat specifieke beveiligingscontroles vereist, waaronder authenticatie, autorisatie, rate limiting, inputvalidatie en monitoring.

Leer hoe u API's beveiligt en voldoet aan ISO 27001, SOC 2, NIS2 en DORA-vereisten. Behandelt authenticatie, rate limiting, inputvalidatie, OWASP API Top 10, API-gateways en compliancebewijs.

API-beveiliging

OWASP API Top 10

authenticatie

rate limiting

compliance

Wat is API-beveiliging?

API-beveiliging is de discipline van het beschermen van applicatie-programmeerinterfaces tegen ongeautoriseerde toegang, gegevensblootstelling en misbruik. Naarmate organisaties steeds meer vertrouwen op API's om diensten te verbinden, gegevens te delen en integraties aan te sturen, zijn API's zowel de ruggengraat van moderne architectuur als een primair aanvalsoppervlak geworden.

Het beveiligen van API's vereist een defence-in-depth-aanpak die sterke authenticatie, granulaire autorisatie, inputvalidatie, rate limiting, encryptie, monitoring en goed inventarisbeheer combineert.

OWASP API Security Top 10 (2023)

Risico	Beschrijving	Mitigatie
API1: Broken Object Level Authorisation	Toegang tot bronnen van andere gebruikers door ID's te manipuleren	Controleer objecteigenaarschap bij elk verzoek
API2: Broken Authentication	Zwakke of ontbrekende authenticatiemechanismen	Sterke authenticatie, tokenvervaldatum, MFA
API3: Broken Object Property Level Authorisation	Blootstelling of wijziging van gevoelige eigenschappen	Responsfiltering, toegangscontrole op eigendomsniveau
API4: Unrestricted Resource Consumption	Geen limieten op API-gebruik die tot DoS leiden	Rate limiting, paginering, bronquota's
API5: Broken Function Level Authorisation	Toegang tot beheerfuncties zonder juiste autorisatie	Rolgebaseerde toegang op elk endpoint
API6: Unrestricted Access to Sensitive Business Flows	Geautomatiseerd misbruik van bedrijfslogica (scalping, spamming)	Rate limiting op bedrijfslogica, CAPTCHA
API7: Server Side Request Forgery	API haalt bronnen op van door aanvaller beheerde URL's	URL-validatie, allowlists, netwerksegmentatie
API8: Security Misconfiguration	Standaardconfiguraties, uitgebreide foutmeldingen, ontbrekende headers	Hardeningchecklists, beveiligingsheaders
API9: Improper Inventory Management	Onbekende of verouderde API-versies nog steeds toegankelijk	API-inventaris, versiebeheer, uitfasering
API10: Unsafe Consumption of APIs	Gegevens van externe API's vertrouwen zonder validatie	Valideer alle externe API-responses

API-authenticatiemethoden

Methode	Beveiligingsniveau	Het beste voor	Overwegingen
API-sleutels	Laag	Publieke API's, alleen identificatie	Gemakkelijk te lekken, geen gebruikerscontext
Basic auth	Laag	Interne/legacy-systemen	Stuurt referenties per verzoek
OAuth 2.0 + JWT	Hoog	Gebruikersgerichte API's	Industriestandaard, scoped toegang
mTLS	Zeer hoog	Service-naar-service	Sterke identiteit, complexe opzet
HMAC-handtekeningen	Hoog	Webhookverificatie	Manipulatiebestendig, replay-bescherming
API-tokens (kortlevend)	Hoog	Machine-naar-machine	Automatische rotatie, minimale blootstelling

API-beveiligingscontroles

Controlelaag	Controles	Doel
Gateway	Authenticatie, rate limiting, WAF, TLS-terminatie	Gecentraliseerd handhavingspunt
Transport	TLS 1.2+, certificaatpinning, mTLS	Bescherming van gegevens in transit
Authenticatie	OAuth 2.0, JWT-validatie, API-sleutelbeheer	Identiteit van aanroeper verifieren
Autorisatie	RBAC/ABAC, scope-validatie, controles op objectniveau	Toegangsbeleid afdwingen
Inputvalidatie	Schemavalidatie, typecontrole, sanitisatie	Injectieaanvallen voorkomen
Outputfiltering	Responsfiltering, gegevensmaskering, veldselectie	Gegevensblootstelling voorkomen
Rate limiting	Per sleutel, per gebruiker, per endpoint-limieten	Misbruik en DoS voorkomen
Monitoring	Verzoeklogging, anomaliedetectie, alertering	Bedreigingen detecteren en erop reageren

API-gateway-architectuur

Component	Functie	Beveiligingswaarde
Reverse proxy	Routeert verzoeken naar backendservices	Verbergt interne architectuur
Authenticatieservice	Valideert tokens en referenties	Gecentraliseerde identiteitsverificatie
Rate limiter	Handhaaft gebruiksquota's	DoS-bescherming
Verzoekvalidator	Valideert tegen API-schema	Inputbeveiliging
Responstransformator	Filtert gevoelige gegevens uit responses	Preventie van gegevensblootstelling
WAF-integratie	Inspecteert op veelvoorkomende aanvalspatronen	OWASP-bescherming
Logging/analytics	Registreert alle API-transacties	Audittrail en monitoring

API-versiebeheer en levenscyclus

Fase	Beveiligingsactiviteiten	Controles
Ontwerp	Dreigingsmodellering, beveiligingsvereisten	Secure-by-design-beoordeling
Ontwikkeling	Veilig coderen, SAST, dependency scanning	Codebeoordeling met beveiligingsfocus
Testen	DAST, fuzzing, penetratietesten	Beveiligingsvalidatie voor release
Implementatie	Gatewayconfiguratie, monitoringopzet	Beveiligingscontroles actief
Operatie	Monitoring, incidentrespons, patching	Continue beveiligingshouding
Uitfasering	Versie-sunset, migratieondersteuning	Toegang tot verouderde versies verwijderen
Buitengebruikstelling	Volledige decommissie	Verifieren dat er geen resterende toegang is

Compliancevereisten

Frameworkmapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Veilige ontwikkeling	A.8.25	CC8.1	Art. 21(2)(e)	Art. 8(1)
Authenticatiecontroles	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Toegangscontrole	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Encryptie in transit	A.8.24	CC6.7	Art. 21(2)(d)	Art. 9(2)
Logging en monitoring	A.8.15	CC7.2	Art. 21(2)(b)	Art. 10
Inputvalidatie	A.8.28	CC8.1	Art. 21(2)(e)	Art. 8(1)
Beveiliging van externe API's	A.8.30	CC9.2	Art. 21(2)(d)	Art. 8(5)

Auditbewijs

Bewijstype	Beschrijving	Framework
API-inventaris	Volledige lijst van alle API's met eigenaren en classificaties	Alle frameworks
Authenticatieconfiguratie	API-gateway-authenticatie-instellingen en tokenbeleid	Alle frameworks
Rate limiting-configuratie	Gedocumenteerde limieten per endpoint en consument	ISO 27001, SOC 2
API-beveiligingsscanrapporten	DAST-resultaten tegen API-endpoints	Alle frameworks
API-toegangslogboeken	Gelogde verzoeken met authenticatie en autorisatie	Alle frameworks
API-versiebeleid	Gedocumenteerde levenscyclus en uitfaseringsproces	ISO 27001, DORA
Inputvalidatieregels	Schemadefinities en validatieconfiguraties	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Geen API-inventaris	Schaduw-API's zonder beveiligingscontroles	Onderhoud een volledige API-inventaris met eigenaarschap
Authenticatie alleen op applicatieniveau	Inconsistente handhaving over services	Centraliseer authenticatie bij de API-gateway
Geen rate limiting	DoS, credential stuffing, bronuitputting	Implementeer rate limits op gateway- en applicatieniveau
Volledige objecten retourneren	Overmatige gegevensblootstelling aan clients	Filter responses om alleen vereiste velden te retourneren
Geen inputvalidatie	Injectieaanvallen, gegevenscorruptie	Valideer alle invoer tegen het API-schema
API-sleutels in URL's	Sleutels blootgesteld in logboeken, browsergeschiedenis, referrer-headers	Verstuur API-sleutels in headers, nooit in URL's
Geen API-versiebeheer	Kan onveilige versies niet uitfaseren	Versiebeheer voor alle API's, uitfaseringstermijnen handhaven

Hoe Orbiq API-beveiligingscompliance ondersteunt

Orbiq helpt u API-beveiligingscontroles aan te tonen:

Bewijsverzameling — Centraliseer API-inventarissen, scanrapporten en configuratiebewijs
Continue monitoring — Volg de API-beveiligingshouding en kwetsbaarheidstrends
Trust Center — Deel uw API-beveiligingshouding via uw Trust Center
Compliancemapping — Koppel API-beveiligingscontroles aan ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Kant-en-klare bewijspakketten voor auditorsbeoordeling

Verder lezen

DevSecOps — Beveiliging in de ontwikkelingspipeline
Encryptie — Bescherming van API-gegevens in transit
Identiteits- en toegangsbeheer — API-authenticatie en -autorisatie
Netwerkbeveiliging — Netwerkbeveiliging voor API's
SIEM — Monitoring van API-beveiligingsgebeurtenissen
Toeleveringsketenbeveiliging — Risicobeheer van externe API's