Kerentanan API OATH Teratas
Kerentanan API OATH Teratas: Pengenalan
Apabila ia melibatkan eksploitasi, API adalah tempat terbaik untuk bermula. API akses biasanya terdiri daripada tiga bahagian. Pelanggan diberikan token oleh Pelayan Kebenaran, yang berjalan bersama API. API menerima token akses daripada pelanggan dan menggunakan peraturan kebenaran khusus domain berdasarkannya.
Aplikasi perisian moden terdedah kepada pelbagai bahaya. Ikuti perkembangan terkini eksploitasi dan kelemahan keselamatan terkini; mempunyai penanda aras untuk kelemahan ini adalah penting untuk memastikan keselamatan aplikasi sebelum serangan berlaku. Aplikasi pihak ketiga semakin bergantung pada protokol OAuth. Pengguna akan mempunyai pengalaman pengguna keseluruhan yang lebih baik, serta log masuk dan kebenaran yang lebih pantas, berkat teknologi ini. Ia mungkin lebih selamat daripada kebenaran konvensional kerana pengguna tidak perlu mendedahkan kelayakan mereka dengan aplikasi pihak ketiga untuk mengakses sumber yang diberikan. Walaupun protokol itu sendiri selamat dan terjamin, cara ia dilaksanakan mungkin membuatkan anda terbuka untuk menyerang.
Semasa mereka bentuk dan mengehos API, artikel ini memfokuskan pada kerentanan OAuth biasa, serta pelbagai pengurangan keselamatan.
Keizinan Tahap Objek Patah
Terdapat permukaan serangan yang luas jika kebenaran dilanggar kerana API menyediakan akses kepada objek. Memandangkan item boleh diakses API mesti disahkan, ini adalah perlu. Laksanakan semakan kebenaran peringkat objek menggunakan get laluan API. Hanya mereka yang mempunyai kelayakan kebenaran yang sesuai harus dibenarkan akses.
Pengesahan Pengguna Rusak
Token yang tidak dibenarkan ialah satu lagi cara yang kerap untuk penyerang mendapatkan akses kepada API. Sistem pengesahan mungkin digodam, atau kunci API mungkin tersilap terdedah. Token pengesahan mungkin digunakan oleh penggodam untuk memperoleh akses. Sahkan orang hanya jika mereka boleh dipercayai dan gunakan kata laluan yang kukuh. Dengan OAuth, anda boleh melangkaui kunci API semata-mata dan mendapatkan akses kepada data anda. Anda harus sentiasa berfikir tentang cara anda masuk dan keluar dari sesuatu tempat. Token Terhalang Pengirim MTLS OAuth boleh digunakan bersama-sama dengan Mutual TLS untuk menjamin bahawa pelanggan tidak melakukan salah laku dan menghantar token kepada pihak yang salah semasa mengakses mesin lain.
Promosi API:
Pendedahan Data Berlebihan
Tiada kekangan pada bilangan titik akhir yang mungkin diterbitkan. Selalunya, tidak semua ciri tersedia untuk semua pengguna. Dengan mendedahkan lebih banyak data daripada yang diperlukan, anda meletakkan diri anda dan orang lain dalam bahaya. Elakkan mendedahkan perkara sensitif maklumat sehingga ia benar-benar perlu. Pembangun boleh menentukan siapa yang mempunyai akses kepada apa dengan menggunakan Skop dan Tuntutan OAuth. Tuntutan boleh menentukan bahagian data yang boleh diakses oleh pengguna. Kawalan akses boleh dibuat lebih mudah dan lebih mudah untuk diurus dengan menggunakan struktur standard merentas semua API.
Kekurangan Sumber & Pengehadan Kadar
Topi hitam sering menggunakan serangan penafian perkhidmatan (DoS) sebagai cara kekerasan untuk mengatasi pelayan dan mengurangkan masa operasinya kepada sifar. Tanpa sekatan pada sumber yang boleh dipanggil, API terdedah kepada serangan yang melemahkan. 'Menggunakan get laluan API atau alat pengurusan, anda boleh menetapkan sekatan kadar untuk API. Penapisan dan penomboran harus disertakan, serta jawapan dihadkan.
Salah konfigurasi Sistem Keselamatan
Garis panduan konfigurasi keselamatan yang berbeza adalah agak komprehensif, disebabkan kemungkinan besar salah konfigurasi keselamatan. Beberapa perkara kecil mungkin menjejaskan keselamatan platform anda. Ada kemungkinan bahawa topi hitam dengan tujuan tersembunyi mungkin menemui maklumat sensitif yang dihantar sebagai tindak balas kepada pertanyaan yang salah bentuk, sebagai contoh.
Tugasan Massa
Hanya kerana titik akhir tidak ditakrifkan secara terbuka tidak membayangkan ia tidak boleh diakses oleh pembangun. API rahsia mungkin mudah dipintas dan direkayasa balik oleh penggodam. Lihat contoh asas ini, yang menggunakan Token Pembawa terbuka dalam API "peribadi". Sebaliknya, dokumentasi awam mungkin wujud untuk sesuatu yang khusus untuk kegunaan peribadi. Maklumat yang terdedah boleh digunakan oleh topi hitam untuk bukan sahaja membaca tetapi juga memanipulasi ciri objek. Anggap diri anda seorang penggodam semasa anda mencari potensi kelemahan dalam pertahanan anda. Benarkan hanya mereka yang mempunyai hak yang sepatutnya mengakses perkara yang dikembalikan. Untuk meminimumkan kerentanan, hadkan pakej respons API. Responden tidak boleh menambah sebarang pautan yang tidak diperlukan sepenuhnya.
API Digalakkan:
Pengurusan Aset yang tidak betul
Selain daripada meningkatkan produktiviti pembangun, versi dan dokumentasi semasa adalah penting untuk keselamatan anda sendiri. Bersedia untuk pengenalan versi baharu dan penamatan API lama jauh lebih awal. Gunakan API yang lebih baharu dan bukannya membenarkan API yang lebih lama untuk terus digunakan. Spesifikasi API boleh digunakan sebagai sumber utama kebenaran untuk dokumentasi.
Suntikan
API terdedah kepada suntikan, tetapi begitu juga apl pembangun pihak ketiga. Kod hasad boleh digunakan untuk memadam data atau mencuri maklumat sulit, seperti kata laluan dan nombor kad kredit. Pelajaran yang paling penting untuk diambil daripada ini adalah untuk tidak bergantung pada tetapan lalai. Pengurusan atau pembekal gerbang anda seharusnya dapat menampung keperluan aplikasi unik anda. Mesej ralat tidak boleh mengandungi maklumat sensitif. Untuk mengelakkan data identiti daripada bocor di luar sistem, Nama Samaran Berpasangan harus digunakan dalam token. Ini memastikan bahawa tiada pelanggan boleh bekerjasama untuk mengenal pasti pengguna.
Pembalakan Dan Pemantauan Tidak Mencukupi
Apabila serangan berlaku, pasukan memerlukan strategi reaksi yang difikirkan dengan baik. Pemaju akan terus mengeksploitasi kelemahan tanpa ditangkap jika sistem pembalakan dan pemantauan yang boleh dipercayai tidak disediakan, yang akan meningkatkan kerugian dan merosakkan persepsi orang ramai terhadap syarikat itu. Mengguna pakai pemantauan API yang ketat dan strategi ujian titik akhir pengeluaran. Penguji topi putih yang mencari kelemahan lebih awal harus diberi ganjaran dengan skim hadiah. Jejak log boleh dipertingkatkan dengan memasukkan identiti pengguna ke dalam transaksi API. Pastikan semua lapisan seni bina API anda diaudit menggunakan data Token Akses.
Kesimpulan
Arkitek platform boleh melengkapkan sistem mereka untuk mengekalkan satu langkah di hadapan penyerang dengan mengikut kriteria kelemahan yang ditetapkan. Oleh kerana API mungkin menyediakan kebolehaksesan kepada Maklumat Pengenalan Peribadi (PII), mengekalkan keselamatan perkhidmatan tersebut adalah penting untuk kestabilan syarikat dan pematuhan undang-undang seperti GDPR. Jangan sekali-kali menghantar token OAuth terus melalui API tanpa menggunakan Gateway API dan Pendekatan Token Hantu.
API Digalakkan:
