Κορυφαία τρωτά σημεία του OATH API
Κορυφαία σημεία ευπάθειας API OATH: Εισαγωγή
Όσον αφορά τα exploits, τα API είναι το καλύτερο μέρος για να ξεκινήσετε. API Η πρόσβαση συνήθως αποτελείται από τρία μέρη. Οι πελάτες εκδίδονται διακριτικά από έναν διακομιστή εξουσιοδότησης, ο οποίος εκτελείται παράλληλα με τα API. Το API λαμβάνει διακριτικά πρόσβασης από τον πελάτη και εφαρμόζει κανόνες εξουσιοδότησης για συγκεκριμένο τομέα βάσει αυτών.
Οι σύγχρονες εφαρμογές λογισμικού είναι ευάλωτες σε διάφορους κινδύνους. Μείνετε ενημερωμένοι για τα πιο πρόσφατα exploits και ελαττώματα ασφαλείας. Η ύπαρξη σημείων αναφοράς για αυτά τα τρωτά σημεία είναι απαραίτητη για τη διασφάλιση της ασφάλειας της εφαρμογής πριν συμβεί μια επίθεση. Οι εφαρμογές τρίτων βασίζονται όλο και περισσότερο στο πρωτόκολλο OAuth. Οι χρήστες θα έχουν καλύτερη συνολική εμπειρία χρήστη, καθώς και ταχύτερη σύνδεση και εξουσιοδότηση, χάρη σε αυτήν την τεχνολογία. Μπορεί να είναι πιο ασφαλές από τη συμβατική εξουσιοδότηση, καθώς οι χρήστες δεν χρειάζεται να αποκαλύπτουν τα διαπιστευτήριά τους με την εφαρμογή τρίτου μέρους για να έχουν πρόσβαση σε έναν δεδομένο πόρο. Ενώ το ίδιο το πρωτόκολλο είναι ασφαλές και ασφαλές, ο τρόπος εφαρμογής του μπορεί να σας αφήσει ανοιχτούς σε επιθέσεις.
Κατά το σχεδιασμό και τη φιλοξενία API, αυτό το άρθρο εστιάζει σε τυπικά τρωτά σημεία του OAuth, καθώς και σε διάφορους μετριασμούς ασφαλείας.
Εξουσιοδότηση επιπέδου σπασμένου αντικειμένου
Υπάρχει μια τεράστια επιφάνεια επίθεσης εάν παραβιαστεί η εξουσιοδότηση, καθώς τα API παρέχουν πρόσβαση σε αντικείμενα. Δεδομένου ότι τα στοιχεία προσβάσιμα από API πρέπει να επαληθευτούν, αυτό είναι απαραίτητο. Εφαρμόστε ελέγχους εξουσιοδότησης σε επίπεδο αντικειμένου χρησιμοποιώντας μια πύλη API. Μόνο όσοι διαθέτουν τα κατάλληλα διαπιστευτήρια άδειας θα πρέπει να έχουν πρόσβαση.
Κατεστραμμένος έλεγχος ταυτότητας χρήστη
Τα μη εξουσιοδοτημένα token είναι ένας άλλος συχνός τρόπος για τους εισβολείς να αποκτήσουν πρόσβαση σε API. Τα συστήματα ελέγχου ταυτότητας μπορεί να παραβιαστούν ή ένα κλειδί API μπορεί να εκτεθεί κατά λάθος. Τα διακριτικά ελέγχου ταυτότητας μπορεί να είναι χρησιμοποιείται από χάκερ να αποκτήσει πρόσβαση. Πραγματοποιήστε έλεγχο ταυτότητας ατόμων μόνο εάν είναι αξιόπιστοι και χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης. Με το OAuth, μπορείτε να προχωρήσετε πέρα από τα απλά κλειδιά API και να αποκτήσετε πρόσβαση στα δεδομένα σας. Θα πρέπει πάντα να σκέφτεστε πώς θα μπείτε και θα φύγετε από ένα μέρος. Τα OAuth MTLS Sender Constrained Tokens μπορούν να χρησιμοποιηθούν σε συνδυασμό με το Mutual TLS για να εγγυηθούν ότι οι πελάτες δεν θα συμπεριφέρονται άσχημα και δεν θα διαβιβάζουν διακριτικά στο εσφαλμένο μέρος κατά την πρόσβαση σε άλλα μηχανήματα.
Προώθηση API:
Υπερβολική έκθεση δεδομένων
Δεν υπάρχουν περιορισμοί στον αριθμό των τελικών σημείων που μπορούν να δημοσιευτούν. Τις περισσότερες φορές, δεν είναι όλες οι λειτουργίες διαθέσιμες σε όλους τους χρήστες. Εκθέτοντας περισσότερα δεδομένα από όσα είναι απολύτως απαραίτητα, θέτετε τον εαυτό σας και τους άλλους σε κίνδυνο. Αποφύγετε την αποκάλυψη ευαίσθητων πληροφορίες μέχρι να είναι απολύτως απαραίτητο. Οι προγραμματιστές μπορούν να καθορίσουν ποιος έχει πρόσβαση σε τι χρησιμοποιώντας τα πεδία και τις αξιώσεις OAuth. Οι αξιώσεις μπορεί να προσδιορίζουν σε ποιες ενότητες των δεδομένων έχει πρόσβαση ένας χρήστης. Ο έλεγχος πρόσβασης μπορεί να γίνει απλούστερος και ευκολότερος στη διαχείριση χρησιμοποιώντας μια τυπική δομή σε όλα τα API.
Έλλειψη πόρων και περιορισμός τιμών
Τα μαύρα καπέλα χρησιμοποιούν συχνά επιθέσεις άρνησης υπηρεσίας (DoS) ως τρόπο ωμής βίας για να συντρίψουν έναν διακομιστή και έτσι να μειώσουν το χρόνο λειτουργίας του στο μηδέν. Χωρίς περιορισμούς στους πόρους που μπορούν να κληθούν, ένα API είναι ευάλωτο σε μια εξουθενωτική επίθεση. «Χρησιμοποιώντας μια πύλη API ή ένα εργαλείο διαχείρισης, μπορείτε να ορίσετε περιορισμούς τιμών για API. Θα πρέπει να συμπεριληφθούν φιλτράρισμα και σελιδοποίηση, καθώς και περιορισμοί των απαντήσεων.
Λανθασμένη διαμόρφωση του συστήματος ασφαλείας
Οι διαφορετικές οδηγίες διαμόρφωσης ασφαλείας είναι αρκετά περιεκτικές, λόγω της σημαντικής πιθανότητας εσφαλμένης διαμόρφωσης ασφαλείας. Ορισμένα μικρά πράγματα μπορεί να θέσουν σε κίνδυνο την ασφάλεια της πλατφόρμας σας. Είναι πιθανό τα μαύρα καπέλα με απώτερους σκοπούς να ανακαλύψουν ευαίσθητες πληροφορίες που αποστέλλονται ως απάντηση σε λανθασμένα ερωτήματα, για παράδειγμα.
Μαζική ανάθεση
Ακριβώς επειδή ένα τελικό σημείο δεν έχει οριστεί δημόσια, δεν σημαίνει ότι δεν είναι προσβάσιμο από προγραμματιστές. Ένα μυστικό API μπορεί εύκολα να υποκλαπεί και να αναστραφεί από χάκερ. Ρίξτε μια ματιά σε αυτό το βασικό παράδειγμα, το οποίο χρησιμοποιεί ένα ανοιχτό Bearer Token σε ένα "ιδιωτικό" API. Από την άλλη πλευρά, μπορεί να υπάρχει δημόσια τεκμηρίωση για κάτι που προορίζεται αποκλειστικά για προσωπική χρήση. Οι εκτεθειμένες πληροφορίες μπορούν να χρησιμοποιηθούν από τα μαύρα καπέλα όχι μόνο για να διαβάσουν αλλά και να χειριστούν τα χαρακτηριστικά των αντικειμένων. Θεωρήστε τον εαυτό σας χάκερ καθώς αναζητάτε πιθανά αδύναμα σημεία στις άμυνές σας. Επιτρέψτε μόνο σε όσους έχουν τα κατάλληλα δικαιώματα πρόσβαση σε ό,τι επιστράφηκε. Για να ελαχιστοποιήσετε την ευπάθεια, περιορίστε το πακέτο απόκρισης API. Οι ερωτηθέντες δεν πρέπει να προσθέτουν συνδέσμους που δεν είναι απολύτως απαραίτητοι.
API που προωθείται:
Λανθασμένη διαχείριση περιουσιακών στοιχείων
Εκτός από τη βελτίωση της παραγωγικότητας των προγραμματιστών, οι τρέχουσες εκδόσεις και η τεκμηρίωση είναι απαραίτητα για τη δική σας ασφάλεια. Προετοιμαστείτε για την εισαγωγή νέων εκδόσεων και την κατάργηση των παλαιών API πολύ εκ των προτέρων. Χρησιμοποιήστε νεότερα API αντί να επιτρέψετε σε παλαιότερα να παραμείνουν σε χρήση. Μια προδιαγραφή API θα μπορούσε να χρησιμοποιηθεί ως κύρια πηγή αλήθειας για την τεκμηρίωση.
Ένεση
Τα API είναι ευάλωτα στην ένεση, αλλά το ίδιο και οι εφαρμογές προγραμματιστών τρίτων. Κακόβουλος κώδικας μπορεί να χρησιμοποιηθεί για τη διαγραφή δεδομένων ή την κλοπή εμπιστευτικών πληροφοριών, όπως κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών. Το πιο σημαντικό μάθημα που πρέπει να αφαιρέσετε από αυτό είναι να μην εξαρτάστε από τις προεπιλεγμένες ρυθμίσεις. Η διαχείριση ή ο προμηθευτής πύλης σας θα πρέπει να είναι σε θέση να καλύψει τις μοναδικές σας ανάγκες εφαρμογής. Τα μηνύματα σφάλματος δεν πρέπει να περιλαμβάνουν ευαίσθητες πληροφορίες. Για να αποτρέψετε τη διαρροή δεδομένων ταυτότητας εκτός συστήματος, τα ψευδώνυμα Pairwise θα πρέπει να χρησιμοποιούνται σε διακριτικά. Αυτό διασφαλίζει ότι κανένας πελάτης δεν μπορεί να συνεργαστεί για την αναγνώριση ενός χρήστη.
Ανεπαρκής καταγραφή και παρακολούθηση
Όταν όντως λαμβάνει χώρα μια επίθεση, οι ομάδες απαιτούν μια καλά μελετημένη στρατηγική αντίδρασης. Οι προγραμματιστές θα συνεχίσουν να εκμεταλλεύονται τα τρωτά σημεία χωρίς να συλλαμβάνονται, εάν δεν υπάρχει ένα αξιόπιστο σύστημα καταγραφής και παρακολούθησης, γεγονός που θα αυξήσει τις απώλειες και θα βλάψει την αντίληψη του κοινού για την εταιρεία. Υιοθετήστε μια αυστηρή στρατηγική παρακολούθησης API και δοκιμής τελικού σημείου παραγωγής. Οι δοκιμαστές λευκού καπέλου που βρίσκουν ευπάθειες νωρίς θα πρέπει να ανταμείβονται με ένα πρόγραμμα επιβράβευσης. Το ίχνος καταγραφής μπορεί να βελτιωθεί συμπεριλαμβάνοντας την ταυτότητα του χρήστη στις συναλλαγές API. Βεβαιωθείτε ότι όλα τα επίπεδα της αρχιτεκτονικής API σας ελέγχονται χρησιμοποιώντας δεδομένα Access Token.
Συμπέρασμα
Οι αρχιτέκτονες πλατφόρμας μπορούν να εξοπλίσουν τα συστήματά τους ώστε να παραμένουν ένα βήμα μπροστά από τους εισβολείς ακολουθώντας καθιερωμένα κριτήρια ευπάθειας. Επειδή τα API ενδέχεται να παρέχουν πρόσβαση σε Προσωπικά Αναγνωρίσιμα στοιχεία (PII), η διατήρηση της ασφάλειας τέτοιων υπηρεσιών είναι κρίσιμης σημασίας τόσο για τη σταθερότητα της εταιρείας όσο και για τη συμμόρφωση με τη νομοθεσία όπως ο GDPR. Ποτέ μην στέλνετε διακριτικά OAuth απευθείας μέσω ενός API χωρίς να χρησιμοποιείτε μια πύλη API και την προσέγγιση Phantom Token.
API που προωθείται:
