Hlavní zranitelnosti rozhraní OATH API
Hlavní zranitelnosti rozhraní OATH API: Úvod
Pokud jde o exploity, API jsou nejlepším místem, kde začít. API přístup se obvykle skládá ze tří částí. Klientům vydává tokeny autorizační server, který běží spolu s rozhraními API. Rozhraní API přijímá přístupové tokeny od klienta a na jejich základě aplikuje pravidla autorizace specifická pro doménu.
Moderní softwarové aplikace jsou zranitelné vůči různým nebezpečím. Udržujte si přehled o nejnovějších exploitech a bezpečnostních nedostatcích; mít benchmarky pro tyto zranitelnosti je zásadní pro zajištění bezpečnosti aplikací předtím, než dojde k útoku. Aplikace třetích stran stále více spoléhají na protokol OAuth. Uživatelé budou mít díky této technologii celkově lepší uživatelský zážitek a také rychlejší přihlašování a autorizaci. Může být bezpečnější než konvenční autorizace, protože uživatelé nemusí sdělovat své přihlašovací údaje aplikaci třetí strany, aby získali přístup k danému zdroji. I když je protokol sám o sobě bezpečný a zabezpečený, způsob jeho implementace vás může vystavit riziku útoku.
Při navrhování a hostování rozhraní API se tento článek zaměřuje na typické chyby zabezpečení protokolu OAuth a také na různá zmírnění zabezpečení.
Oprávnění na úrovni poškozeného objektu
V případě porušení autorizace existuje rozsáhlá útočná plocha, protože rozhraní API poskytují přístup k objektům. Vzhledem k tomu, že položky přístupné pomocí API musí být ověřeny, je to nutné. Implementujte kontroly autorizace na úrovni objektu pomocí brány API. Přístup by měl být povolen pouze uživatelům s příslušnými pověřeními.
Poškozené ověření uživatele
Neautorizované tokeny jsou dalším častým způsobem, jak mohou útočníci získat přístup k rozhraním API. Autentizační systémy mohou být hacknuty nebo může být omylem odhalen klíč API. Autentizační tokeny mohou být používané hackery získat přístup. Ověřujte lidi, pouze pokud jim lze důvěřovat, a používejte silná hesla. S OAuth můžete jít nad rámec pouhých API klíčů a získat přístup ke svým datům. Vždy byste měli přemýšlet o tom, jak se dostanete dovnitř a ven z místa. OAuth MTLS Sender Constrained Tokens mohou být použity ve spojení s Mutual TLS, aby bylo zaručeno, že se klienti nebudou chovat špatně a nepředávají tokeny nesprávné straně při přístupu k jiným počítačům.
Propagace API:
Nadměrné vystavení údajům
Neexistují žádná omezení ohledně počtu koncových bodů, které mohou být publikovány. Ve většině případů nejsou všechny funkce dostupné všem uživatelům. Vystavením více dat, než je nezbytně nutné, vystavujete sebe i ostatní nebezpečí. Vyhněte se prozrazení citlivých informace dokud to nebude nezbytně nutné. Vývojáři mohou určit, kdo má k čemu přístup, pomocí rozsahů a nároků OAuth. Nároky mohou specifikovat, ke kterým částem dat má uživatel přístup. Řízení přístupu lze zjednodušit a spravovat pomocí standardní struktury napříč všemi rozhraními API.
Nedostatek zdrojů a omezení sazeb
Black hats často používají útoky typu DoS (Denial-of-service) jako způsob hrubé síly, jak zahltit server a snížit tak jeho dobu provozu na nulu. Bez omezení zdrojů, které mohou být volány, je API zranitelné vůči oslabujícímu útoku. „Pomocí brány API nebo nástroje pro správu můžete nastavit omezení rychlosti pro rozhraní API. Mělo by být zahrnuto filtrování a stránkování, stejně jako omezení odpovědí.
Špatná konfigurace bezpečnostního systému
Různé pokyny pro konfiguraci zabezpečení jsou poměrně obsáhlé kvůli značné pravděpodobnosti nesprávné konfigurace zabezpečení. Bezpečnost vaší platformy může ohrozit řada maličkostí. Je možné, že černé klobouky s postranními účely mohou například objevit citlivé informace odeslané v reakci na chybně vytvořené dotazy.
Hromadné zadání
To, že koncový bod není veřejně definován, neznamená, že k němu nemohou vývojáři přistupovat. Tajné API může být snadno zachyceno a reverzně analyzováno hackery. Podívejte se na tento základní příklad, který používá otevřený Bearer Token v „soukromém“ API. Na druhou stranu může existovat veřejná dokumentace pro něco, co je určeno výhradně pro osobní použití. Exponované informace mohou být použity černými klobouky nejen ke čtení, ale také k manipulaci s charakteristikami objektu. Považujte se za hackera, když hledáte potenciální slabá místa ve své obraně. Povolit přístup k tomu, co bylo vráceno, pouze těm, kteří mají správná práva. Chcete-li minimalizovat zranitelnost, omezte balíček odpovědí API. Respondenti by neměli přidávat žádné odkazy, které nejsou nezbytně nutné.
Propagované API:
Nesprávná správa aktiv
Kromě zvýšení produktivity vývojářů jsou aktuální verze a dokumentace zásadní pro vaši vlastní bezpečnost. Připravte se na zavedení nových verzí a ukončení podpory starých API s velkým předstihem. Používejte novější rozhraní API místo toho, abyste umožnili používat starší. Specifikace API by mohla být použita jako primární zdroj pravdy pro dokumentaci.
Injekční
Rozhraní API jsou zranitelná vůči vkládání, ale také vývojářské aplikace třetích stran. Škodlivý kód může být použit k odstranění dat nebo odcizení důvěrných informací, jako jsou hesla a čísla kreditních karet. Nejdůležitější lekcí, kterou si z toho odnést, je nezáviset na výchozím nastavení. Vaše správa nebo dodavatel brány by měl být schopen vyhovět vašim jedinečným potřebám aplikací. Chybové zprávy by neměly obsahovat citlivé informace. Aby se zabránilo úniku údajů o identitě mimo systém, měly by být v tokenech použity Pseudonyms Pairwise. To zajišťuje, že žádný klient nemůže spolupracovat na identifikaci uživatele.
Nedostatečné protokolování a monitorování
Když k útoku dojde, týmy vyžadují dobře promyšlenou strategii reakce. Vývojáři budou i nadále využívat zranitelná místa, aniž by byli chyceni, pokud nebude zaveden spolehlivý systém protokolování a monitorování, což zvýší ztráty a poškodí vnímání společnosti veřejností. Přijměte přísnou strategii monitorování API a testování koncových bodů produkce. Testeři bílého klobouku, kteří brzy najdou zranitelnost, by měli být odměněni systémem odměn. Záznam protokolu lze zlepšit zahrnutím identity uživatele do transakcí API. Zajistěte, aby byly všechny vrstvy vaší architektury API auditovány pomocí dat přístupového tokenu.
Proč investovat do čističky vzduchu?
Architekti platforem mohou vybavit své systémy tak, aby byli o krok napřed před útočníky tím, že budou dodržovat stanovená kritéria zranitelnosti. Vzhledem k tomu, že API mohou poskytovat přístup k Osobně identifikovatelným informacím (PII), je udržování bezpečnosti takových služeb zásadní jak pro stabilitu společnosti, tak pro soulad s legislativou, jako je GDPR. Nikdy neposílejte tokeny OAuth přímo přes rozhraní API bez použití brány API a přístupu Phantom Token Approach.
Propagované API:
