Das Prüfen einer API Spezifikation muss noch lange nicht einen Angriff unterbinden. Forceful Browsing (URLs erraten) oder Mass Assignments (Parameter erraten) kann man damit vielleicht besser abecken als mit einer WAF ohne API Spezifikation. Die auch bei APIs sehr verbreiteten Injection-Attacken kann man damit nur verhindern wenn die Wertebereiche der Parameter sehr eng geprüft werden (Zahlen, Enums, etc.). Oft werden aber Spezifikationen enforced bei welchen viele Parameter als "Strings" einfach beliebige Werte annehmen können. Das schützt dann kaum vor Injection Attacken und niemand schaut genauer hin weil man ja schliesslich eine API-Spezifikation hat. Wenn die Wertebereiche so offen sind brauchts wieder Blacklists wie bei ganz klassischen WAFs. Daher ist im Artikel auch von Mod Security Filter die Rede. Aufwand/Ertrag von API Spezifikationen sollte man sich daher gut überlegen.
