API-Sicherheit in der Cloud: Risiken und Schutzmaßnahmen

Question 1

Welche der folgenden Aussagen zur Verschlüsselung in der API-Sicherheit ist KORREKT?

Accepted Answer

TLS und JWT sind gängige Verfahren zur Verschlüsselung im Kontext von APIs.

Answer

Verschlüsselung schützt Daten nur im Ruhezustand, nicht während der Übertragung.

Answer

Verschlüsselung hat keinen Einfluss auf die Leistung von APIs.

Answer

Verschlüsselung ist nur für öffentlich zugängliche APIs relevant.

Question 2

Warum sind Best Practices für die API-Sicherheit wichtig? Nennen Sie drei konkrete Beispiele für solche Best Practices.

Accepted Answer

Best Practices helfen, häufige Sicherheitsrisiken zu erkennen und Gegenmaßnahmen zu ergreifen.

Answer

Best Practices bieten allgemeine Richtlinien, die nicht immer auf alle APIs zutreffen.

Answer

Best Practices sind nur für komplexe APIs mit hohem Datenverkehr relevant.

Question 3

Welche der folgenden Maßnahmen gilt als Best Practice zur Vermeidung von API-Missbrauch?

Accepted Answer

Ratenbegrenzer zur Steuerung des API-Zugriffs implementieren

Answer

API-Schlüssel mit uneingeschränktem Zugriff verwenden

Answer

Auf Authentifizierung und Autorisierung für APIs verzichten

Answer

API-Schlüssel im Klartext in Konfigurationsdateien speichern

Question 4

Welche Maßnahme gilt als Best Practice, um API-Missbrauch zu verhindern?

Accepted Answer

Implementierung robuster Authentifizierung und Autorisierung

Answer

Öffentliche Zugänglichkeit von APIs

Answer

Unbegrenzte Veröffentlichung der API-Dokumentation

Question 5

Welche der folgenden Maßnahmen ist eine bewährte Methode, um API-Missbrauch zu verhindern?

Accepted Answer

Verwendung von OAuth 2.0 zur Authentifizierung und Autorisierung von API-Aufrufen

Answer

Implementierung eines API-Gateways ohne zusätzliche Authentifizierungsmaßnahmen

Answer

Öffentliche Bereitstellung aller API-Endpunkte und Spezifikationen

Question 6

Welche Best Practice stellt eine sichere Authentifizierung von API-Anfragen sicher?

Accepted Answer

OAuth 2.0 mit Proof Key for Code Exchange (PKCE)

Answer

Basic Auth mit unverschlüsselter Übertragung

Answer

Nur API-Schlüssel verwenden

Answer

Session-Cookies für die Authentifizierung

Question 7

Was ist die Hauptfunktion eines API-Gateways?

Accepted Answer

Zentralisierung der API-Verwaltung, Zugriffskontrolle und Überwachung

Answer

Bereitstellung eines einheitlichen Zugriffspunkts für Backend-Dienste

Answer

Umsetzung spezifischer Sicherheitsmaßnahmen für APIs

Answer

Entwicklung und Bereitstellung neuer APIs

Question 8

Welches Authentifizierungsverfahren bietet die höchste Sicherheit für API-Anfragen?

Accepted Answer

JSON Web Tokens (JWTs) mit Elliptische-Kurven-Kryptographie (ECC)

Answer

HTTP Basic Auth

Answer

OAuth 1.0a

Answer

API-Schlüssel allein

Question 9

Welches Tool eignet sich am besten zur kontinuierlichen Überwachung von API-Aufrufen auf Anomalien?

Accepted Answer

Sicherheitsinformations- und Ereignismanagementsystem (SIEM)

Answer

Code-Review-Tools

Answer

Statische Code-Analyse

Answer

Web Application Firewalls (WAFs)

Question 10

Welche Technik ist entscheidend, um Cross-Site Scripting (XSS)-Schwachstellen in APIs zu verhindern?

Accepted Answer

Strenge Validierung und Bereinigung von Benutzereingaben

Answer

Implementierung von Authentifizierung auf Anwendungsebene

Answer

Einschränkung des Zugriffs auf bestimmte HTTP-Methoden

Answer

Verwendung von Verschlüsselung für alle Datenübertragungen

Question 11

Welcher Aspekt ist entscheidend für die Belastbarkeit von APIs?

Accepted Answer

Skalierbarkeit, Hochverfügbarkeit und Fehlertoleranz

Answer

Schnelle Reaktionszeiten

Answer

Einhaltung von Best Practices

Answer

Benutzerfreundliche Dokumentation

Question 12

Welcher Standard regelt die Erhebung und Nutzung personenbezogener Daten durch APIs?

Accepted Answer

Datenschutz-Grundverordnung (DSGVO)

Answer

ISO/IEC 27001:2013

Answer

National Institute of Standards and Technology (NIST) Cybersecurity Framework

Answer

Payment Card Industry Data Security Standard (PCI DSS)

Question 13

Welche der folgenden Best Practices trägt zur Sicherung von APIs bei?

Accepted Answer

Implementierung von Authentifizierung und Autorisierung

Answer

Verwendung unverschlüsselter Daten

Answer

Zulassen des Zugriffs für alle Benutzer

Answer

Verzicht auf API-Überwachung

Question 14

Welches Prinzip ist bei der Sicherung von APIs von entscheidender Bedeutung?

Accepted Answer

Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung

Answer

Überwachung des API-Verkehrs

Answer

Verzicht auf Authentifizierung

Answer

Zulassen unbegrenzten Zugriffs für alle

Question 15

Welche der folgenden Methoden kann zur Authentifizierung von API-Benutzern verwendet werden?

Accepted Answer

OAuth 2.0

Answer

HTTP-Cookies (ohne zusätzliche Sicherheitsmaßnahmen)

Answer

Einfacher Benutzername und Passwort (ohne zusätzliche Sicherheitsmaßnahmen)

Answer

IP-Adressprüfung

Question 16

Was ist der Hauptzweck von Rate Limiting bei APIs?

Accepted Answer

Verhinderung von Denial-of-Service-Angriffen

Answer

Verfolgung von API-Nutzungsmustern (ohne den Fokus auf Sicherheitsaspekte)

Answer

Erleichterung der API-Nutzung

Answer

Verbesserung der API-Leistung

Question 17

Welchen Vorteil bieten API-Gateways im Hinblick auf die Sicherheit?

Accepted Answer

Bereitstellung einer zentralen Anlaufstelle für API-Verwaltung und -Sicherheit

Answer

Verbesserte Benutzerfreundlichkeit

Answer

Erhöhte API-Leistung

Answer

Automatische Fehlerbehebung

Question 18

Welche der folgenden Best Practices sollte bei der Entwicklung sicherer APIs beachtet werden?

Accepted Answer

Befolgen von OpenAPI-Standards

Answer

Vermeidung von Dokumentation

Answer

Verwendung proprietärer Protokolle

Answer

Entwurf von APIs, die anfällig für Angriffe sind

Question 19

Welche der folgenden Maßnahmen kann dazu beitragen, die Auswirkungen von API-Sicherheitsverletzungen zu minimieren?

Accepted Answer

Implementierung eines Incident-Response-Plans

Answer

Öffentliche Bekanntgabe von Sicherheitsverletzungen (ohne ordnungsgemäße Planung)

Answer

Ignorieren von Sicherheitswarnungen

Answer

Verschleierung der Sicherheitsverletzung

Question 20

Welche der folgenden ist eine bewährte Methode für den Schutz von API-Schlüsseln?

Accepted Answer

Speicherung in einem sicheren Tresor oder Secrets Manager

Answer

Teilen von API-Schlüsseln mit nicht autorisierten Personen

Answer

Häufige Änderung von API-Schlüsseln (ohne einen systematischen Ansatz)

Answer

Speicherung im Klartext in Konfigurationsdateien

Question 21

Welche der folgenden Maßnahmen ist eine Best Practice zur Sicherung von APIs?

Accepted Answer

Implementierung einer Mehr-Faktor-Authentifizierung

Answer

Unsichere Codierungspraktiken

Answer

Verzicht auf eine API-Gateway-Lösung

Answer

Fehlende Protokollierung von API-Ereignissen

Question 22

Welcher der folgenden API-Sicherheitsstandards enthält Leitlinien für die Entwicklung und Implementierung sicherer APIs?

Accepted Answer

OWASP API Security Top 10

Answer

ISO 27001

Answer

PCI DSS

Answer

NIST 800-53

Question 23

Welche der folgenden Angriffsarten versucht, unbefugten Zugriff auf eine API zu erlangen?

Accepted Answer

Brute-Force-Angriff

Answer

DDoS-Angriff

Answer

SQL-Injection

Answer

Cross-Site-Scripting

Question 24

Welcher der folgenden Schritte sollte bei der Implementierung einer Authentifizierungslösung für eine API berücksichtigt werden?

Accepted Answer

Verwenden einer Kombination aus mehreren Authentifizierungsfaktoren

Answer

Verwendung eines einzigen Passworts für alle Benutzer

Answer

Generierung von Authentifizierungstoken ohne Ablaufdatum

Question 25

Welcher der folgenden Vorteile ist mit der Verwendung von API-Gateways verbunden?

Accepted Answer

Zentrale Verwaltung und Sicherheit

Answer

Reduzierte Latenz

Answer

Verbesserte Leistung

Answer

Erhöhte Skalierbarkeit

Question 26

Welche der folgenden Aussagen beschreibt eine Best Practice für die Protokollierung von API-Ereignissen?

Accepted Answer

Protokollierung aller API-Anfragen und -Antworten sowie relevanter Metadaten

Answer

Filterung von Protokolldaten nach bestimmten Kriterien

Answer

Protokollierung nur von Fehlermeldungen

Answer

Speicherung von Protokolldaten für unbestimmte Zeit

Question 27

Welche der folgenden Maßnahmen ist nicht Teil des OWASP API Security Top 10?

Accepted Answer

API-Missbrauch

Answer

Fehlende Autorisierung

Answer

Übermäßige Freigabe

Answer

Fehlende Authentifizierung

Question 28

Welche der folgenden Arten von Schwachstellen wird durch die Verwendung unsicherer Datenvalidierung in einer API verursacht?

Accepted Answer

Injektionsangriffe

Answer

Brute-Force-Angriffe

Answer

XSS-Angriffe

Answer

DDoS-Angriffe

Question 29

Welche der folgenden Maßnahmen kann zur Verbesserung der API-Sicherheit beitragen?

Accepted Answer

Regelmäßige Sicherheitsaudits und Penetrationstests

Answer

Implementierung einer einzigen Sicherheitsmaßnahme

Answer

Überwachung allein

Question 30

Welche der folgenden Methoden ist NICHT eine gängige Methode zur Authentifizierung von API-Anfragen?

Accepted Answer

Sicherheitsabfragen basierend auf der IP-Adresse des Clients

Answer

API-Schlüssel

Answer

OAuth 2.0

Question 31

Welche Art von Angriff zielt darauf ab, sensible Daten aus einer API abzufangen, indem ein Angreifer den Datenverkehr zwischen Client und Server manipuliert?

Accepted Answer

Man-in-the-Middle-Angriff

Answer

Cross-Site-Scripting (XSS)

Answer

SQL-Injection

Answer

DDoS-Angriff

Question 32

Welche Maßnahme ist am effektivsten, um die Sicherheit von API-Schlüsseln zu gewährleisten?

Accepted Answer

Verwenden Sie einen dedizierten API-Schlüssel für jede Anwendung und speichern Sie diese sicher.

Answer

Speichern Sie API-Schlüssel im Code, um einfachen Zugriff zu ermöglichen.

Question 33

Welche Sicherheitsmaßnahme hilft, die Auswirkungen eines erfolgreichen API-Angriffs zu minimieren?

Accepted Answer

Rate Limiting

Answer

API-Versionierung

Answer

HTTPS-Verschlüsselung

Question 34

Was ist der Hauptvorteil der Verwendung von API-Gateways für die API-Sicherheit?

Accepted Answer

Zentralisierung der Sicherheitsrichtlinien und -durchsetzung für alle APIs.

Answer

Verbesserte Performance von APIs.

Answer

Reduzierung der Entwicklungskosten für APIs.

Question 35

Welche der folgenden ist KEINE Best Practice für die sichere API-Entwicklung?

Accepted Answer

Verwenden Sie sensible Daten in Fehlermeldungen, um die Fehlersuche zu erleichtern.

Answer

Verwenden Sie standardisierte Sicherheitsbibliotheken.

Answer

Überprüfen Sie alle Eingaben auf Gültigkeit und Sicherheit.

Question 36

Was ist das Hauptziel des OWASP API Security Top 10 Projekts?

Accepted Answer

Identifizierung der häufigsten Sicherheitsrisiken bei APIs und Bereitstellung von Empfehlungen zur Risikominderung.

Answer

Entwicklung eines neuen Sicherheitsstandards für APIs.

Question 37

Welche der folgenden Methoden ist am effektivsten, um die Sicherheit von API-Verbindungen zu gewährleisten?

Accepted Answer

HTTPS-Verschlüsselung

Answer

OAuth 2.0

Answer

API-Versionierung

Answer

Rate Limiting

Question 38

Wie kann man die Sicherheit von APIs durch die Verwendung von API-Versionierung verbessern?

Accepted Answer

Durch die Einführung neuer Versionen von APIs können Sicherheitslücken in älteren Versionen geschlossen werden.

Answer

API-Versionierung ermöglicht die Verwendung unterschiedlicher Authentifizierungsmechanismen für verschiedene Versionen.

Question 39

Welche der folgenden Aussagen beschreibt am besten den Zusammenhang zwischen API-Sicherheit und der Gesamt-Cloud-Sicherheit?

Accepted Answer

API-Sicherheit ist ein integraler Bestandteil der Gesamt-Cloud-Sicherheit, da APIs eine wichtige Angriffsoberfläche darstellen.

Answer

API-Sicherheit ist unabhängig von der Gesamt-Cloud-Sicherheit.

Question 40

Welche der folgenden Maßnahmen ist ein Best-Practice-Ansatz zur Sicherung von APIs?

Accepted Answer

Verwendung von starken Authentifizierungsmechanismen

Answer

Zulassen des Zugriffs auf die API ohne Authentifizierung

Answer

Verwendung von Standard-Passwörtern für alle APIs

Answer

Verzicht auf die Überwachung der API-Aktivitäten

Question 41

Welcher API-Sicherheitsstandard definiert Best Practices für die Entwicklung und den Betrieb sicherer APIs?

Accepted Answer

OWASP API Security Top 10

Answer

ISO 27001

Answer

PCI DSS

Answer

HIPAA

Question 42

Welche Art von API-Angriff zielt darauf ab, sensible Daten durch Ausnutzen von Schwachstellen in der API-Implementierung abzurufen?

Accepted Answer

Data Exfiltration

Answer

Brute-Force-Angriff

Answer

Denial-of-Service-Angriff

Answer

Man-in-the-Middle-Angriff

Question 43

Welches der folgenden Protokolle wird zur Sicherstellung der Vertraulichkeit und Integrität von API-Nachrichten verwendet?

Accepted Answer

TLS/SSL

Answer

SOAP

Answer

HTTP

Answer

XML-RPC

Question 44

Welche Architekturkomponente ist für die Orchestrierung und Weiterleitung von API-Anforderungen an die entsprechenden Dienste verantwortlich?

Accepted Answer

API Gateway

Answer

Webserver

Answer

Datenbank

Answer

Lastausgleich

Question 45

Welcher der folgenden Angriffe beinhaltet das wiederholte Senden von Anfragen an eine API, um ihre Ressourcen zu erschöpfen?

Accepted Answer

Denial-of-Service (DoS)

Answer

Buffer Overflow

Answer

SQL Injection

Answer

Cross-Site Request Forgery (CSRF)

Question 46

Welches Tool kann verwendet werden, um Schwachstellen in API-Implementierungen automatisch zu erkennen?

Accepted Answer

API-Sicherheits-Scanner

Answer

Code-Reviewer

Answer

Netzwerkscanner

Answer

Web Application Scanner

Question 47

Welche der folgenden Methoden ist KEINE gängige Best Practice für die Sicherung von APIs?

Accepted Answer

Verwendung von statischen Passwörtern für API-Authentifizierung

Answer

Einsatz von API-Gateways mit Authentifizierungs- und Autorisierungsfunktionen

Answer

Einsatz von API-Versionierung

Answer

Implementierung von Rate-Limiting

Question 48

Welche Art von Angriff zielt darauf ab, sensible Informationen aus einer API durch die Ausführung unberechtigter Anfragen abzurufen?

Accepted Answer

API-Injection

Answer

Man-in-the-Middle-Angriff

Answer

Cross-Site Scripting (XSS)

Answer

Denial-of-Service (DoS)

Question 49

Welche Sicherheitsmaßnahme hilft, unberechtigte API-Anfragen zu blockieren, indem sie den Zugriff auf die API basierend auf dem Benutzer oder der Rolle begrenzt?

Accepted Answer

Autorisierung

Answer

Authentifizierung

Answer

Rate-Limiting

Answer

Verschlüsselung

Question 50

Welche Technik dient dazu, die Anzahl von API-Anfragen zu begrenzen, um Denial-of-Service-Angriffe zu verhindern?

Accepted Answer

Rate-Limiting

Answer

Tokenisierung

Answer

Verschlüsselung

Answer

Validierung

Question 51

Welche der folgenden Methoden ist die sicherste Möglichkeit, API-Schlüssel zu schützen?

Accepted Answer

Verwenden von API-Schlüsseln, die mit einer bestimmten IP-Adresse oder einem bestimmten Gerät verknüpft sind.

Answer

API-Schlüssel im Code speichern.

Question 52

Welche Methode hilft, die Integrität von API-Daten zu schützen, indem sie sicherstellt, dass die Daten während der Übertragung nicht manipuliert werden?

Accepted Answer

Digitale Signaturen

Answer

Verschlüsselung

Answer

Tokenisierung

Answer

Validierung

Question 53

Welche Art von API-Sicherheitsprüfung findet während des Entwicklungsprozesses statt und identifiziert Sicherheitslücken im Code?

Accepted Answer

Static Application Security Testing (SAST)

Answer

Penetration Testing

Answer

Dynamic Application Security Testing (DAST)

Answer

Threat Modeling

Question 54

Welche der folgenden Aussagen über API-Gateways ist FALSCH?

Accepted Answer

API-Gateways erhöhen die Angriffsfläche und machen APIs anfälliger für Angriffe.

Answer

API-Gateways können die Authentifizierung und Autorisierung von API-Anfragen zentralisieren.

Answer

API-Gateways können Rate-Limiting und andere Sicherheitsmaßnahmen implementieren.

Question 55

Welche Sicherheitsmaßnahme hilft, die Vertraulichkeit von API-Daten zu schützen, indem sie verhindert, dass unbefugte Personen die Daten lesen können?

Accepted Answer

Verschlüsselung

Answer

Tokenisierung

Answer

Validierung

Answer

Rate-Limiting

Question 56

Welche Sicherheitsstrategie beinhaltet die Identifizierung potenzieller Bedrohungen und die Planung von Abwehrmaßnahmen im Voraus?

Accepted Answer

Threat Modeling

Answer

Penetration Testing

Answer

Dynamic Application Security Testing (DAST)

Answer

Static Application Security Testing (SAST)

Question 57

Welches der folgenden ist ein gängiger Angriffstyp, der auf APIs abzielt?

Accepted Answer

Brute-Force-Angriff

Answer

SQL-Injection

Answer

Cross-Site-Scripting

Answer

Man-in-the-Middle-Angriff

Question 58

Welche der folgenden Methoden wird verwendet, um den Zugriff auf APIs zu authentifizieren?

Accepted Answer

OAuth 2.0

Answer

Basic Auth

Answer

API-Schlüssel

Answer

JWT

Question 59

Welcher HTTP-Statuscode zeigt an, dass der Server die Anfrage eines Clients nicht verarbeiten kann?

Accepted Answer

500 Internal Server Error

Answer

401 Unauthorized

Answer

404 Not Found

Answer

403 Forbidden

Question 60

Welches der folgenden ist ein Best Practice zur Verhinderung von Cross-Site-Scripting-Angriffen (XSS)?

Accepted Answer

Eingabeüberprüfung

Answer

verschlüsselte Übertragung

Answer

rotierende API-Schlüssel

Answer

Drosselung

Question 61

Welches Tool kann verwendet werden, um API-Anforderungen abzufangen und zu analysieren?

Accepted Answer

Wireshark

Answer

Splunk

Answer

Nessus

Answer

Metasploit

Question 62

Was ist der Zweck des OAuth 2.0-Standards?

Accepted Answer

Autorisierung für den Zugriff auf geschützte Ressourcen

Answer

Verschlüsselung von Daten

Answer

Authentifizierung von Benutzern

Question 63

Welche der folgenden Techniken kann dazu beitragen, die Leistung von APIs zu verbessern?

Accepted Answer

Caching

Answer

Drosselung

Answer

Lastausgleich

Question 64

Welches der folgenden ist ein Vorteil der Verwendung von API-Gateways?

Accepted Answer

Zentrale Zugriffskontrolle

Answer

Skalierbarkeit

Answer

Kostenreduzierung

Answer

Verbesserte Sicherheit