Top-OATH-API-Schwachstellen
Top-OATH-API-Schwachstellen: Einführung
Wenn es um Exploits geht, sind APIs der beste Ausgangspunkt. API Der Zugang besteht in der Regel aus drei Teilen. Clients erhalten Token von einem Autorisierungsserver, der neben APIs läuft. Die API empfängt Zugriffstoken vom Client und wendet darauf basierend domänenspezifische Autorisierungsregeln an.
Moderne Softwareanwendungen sind einer Vielzahl von Gefahren ausgesetzt. Bleiben Sie über die neuesten Exploits und Sicherheitslücken auf dem Laufenden; Das Vorhandensein von Benchmarks für diese Schwachstellen ist unerlässlich, um die Anwendungssicherheit zu gewährleisten, bevor ein Angriff erfolgt. Anwendungen von Drittanbietern setzen zunehmend auf das OAuth-Protokoll. Dank dieser Technologie haben die Benutzer insgesamt ein besseres Benutzererlebnis sowie eine schnellere Anmeldung und Autorisierung. Dies ist möglicherweise sicherer als die herkömmliche Autorisierung, da Benutzer ihre Anmeldeinformationen nicht gegenüber der Drittanbieteranwendung offenlegen müssen, um auf eine bestimmte Ressource zuzugreifen. Während das Protokoll selbst sicher und geschützt ist, könnte die Art und Weise, wie es implementiert wird, Sie anfällig für Angriffe machen.
Beim Entwerfen und Hosten von APIs konzentriert sich dieser Artikel auf typische OAuth-Schwachstellen sowie verschiedene Sicherheitsminderungen.
Autorisierung auf Objektebene defekt
Es gibt eine große Angriffsfläche, wenn die Autorisierung verletzt wird, da APIs den Zugriff auf Objekte ermöglichen. Da API-zugängliche Elemente authentifiziert werden müssen, ist dies erforderlich. Implementieren Sie Autorisierungsprüfungen auf Objektebene mithilfe eines API-Gateways. Nur Personen mit den entsprechenden Berechtigungsnachweisen sollte der Zugriff gewährt werden.
Defekte Benutzerauthentifizierung
Nicht autorisierte Token sind eine weitere häufige Methode für Angreifer, um Zugriff auf APIs zu erhalten. Authentifizierungssysteme können gehackt oder ein API-Schlüssel fälschlicherweise offengelegt werden. Authentifizierungstoken können sein von Hackern verwendet Zugang zu erlangen. Authentifizieren Sie Personen nur, wenn ihnen vertraut werden kann, und verwenden Sie starke Passwörter. Mit OAuth können Sie über bloße API-Schlüssel hinausgehen und Zugriff auf Ihre Daten erhalten. Sie sollten immer darüber nachdenken, wie Sie an einem Ort ein- und aussteigen. OAuth MTLS Sender Constrained Tokens können in Verbindung mit Mutual TLS verwendet werden, um sicherzustellen, dass sich Clients nicht falsch verhalten und Token an die falsche Partei weitergeben, während sie auf andere Computer zugreifen.
API-Werbung:
Übermäßige Datenoffenlegung
Es gibt keine Einschränkungen hinsichtlich der Anzahl der Endpunkte, die veröffentlicht werden können. Meistens stehen nicht alle Funktionen allen Benutzern zur Verfügung. Indem Sie mehr Daten preisgeben als unbedingt erforderlich, bringen Sie sich und andere in Gefahr. Vermeiden Sie die Offenlegung von empfindlich Information bis es absolut notwendig ist. Entwickler können festlegen, wer Zugriff auf was hat, indem sie OAuth-Bereiche und -Ansprüche verwenden. Ansprüche können angeben, auf welche Abschnitte der Daten ein Benutzer Zugriff hat. Die Zugriffskontrolle kann einfacher und leichter zu verwalten sein, indem eine Standardstruktur für alle APIs verwendet wird.
Mangel an Ressourcen und Ratenbegrenzung
Black Hats verwenden oft Denial-of-Service (DoS)-Angriffe als Brute-Force-Methode, um einen Server zu überwältigen und so seine Betriebszeit auf null zu reduzieren. Da es keine Beschränkungen für die Ressourcen gibt, die aufgerufen werden können, ist eine API anfällig für einen schwächenden Angriff. „Mit einem API-Gateway oder einem Verwaltungstool können Sie Ratenbeschränkungen für APIs festlegen. Filtern und Paginieren sollten enthalten sein, ebenso wie Antworten eingeschränkt werden.
Fehlkonfiguration des Sicherheitssystems
Verschiedene Sicherheitskonfigurationsrichtlinien sind aufgrund der erheblichen Wahrscheinlichkeit einer Sicherheitsfehlkonfiguration ziemlich umfassend. Eine Reihe von Kleinigkeiten können die Sicherheit Ihrer Plattform gefährden. Es ist beispielsweise möglich, dass Black Hats mit Hintergedanken vertrauliche Informationen entdecken, die als Antwort auf fehlerhafte Anfragen gesendet werden.
Massenaufgabe
Nur weil ein Endpunkt nicht öffentlich definiert ist, bedeutet das nicht, dass Entwickler nicht darauf zugreifen können. Eine geheime API kann von Hackern leicht abgefangen und rückentwickelt werden. Schauen Sie sich dieses einfache Beispiel an, das ein offenes Bearer-Token in einer „privaten“ API verwendet. Andererseits kann eine öffentliche Dokumentation für etwas existieren, das ausschließlich für den persönlichen Gebrauch bestimmt ist. Offengelegte Informationen können von Black Hats verwendet werden, um Objekteigenschaften nicht nur zu lesen, sondern auch zu manipulieren. Betrachten Sie sich selbst als Hacker, wenn Sie nach potenziellen Schwachstellen in Ihrer Abwehr suchen. Gewähren Sie nur Personen mit den entsprechenden Rechten Zugriff auf das, was zurückgegeben wurde. Beschränken Sie das API-Antwortpaket, um die Schwachstelle zu minimieren. Die Befragten sollten keine Links hinzufügen, die nicht unbedingt erforderlich sind.
Beworbene API:
Unsachgemäße Vermögensverwaltung
Neben der Steigerung der Entwicklerproduktivität sind aktuelle Versionen und Dokumentationen für Ihre eigene Sicherheit unerlässlich. Bereiten Sie sich weit im Voraus auf die Einführung neuer Versionen und die Abschaffung alter APIs vor. Verwenden Sie neuere APIs, anstatt zuzulassen, dass ältere weiterhin verwendet werden. Eine API-Spezifikation könnte als primäre Quelle der Wahrheit für die Dokumentation verwendet werden.
Spritze
APIs sind anfällig für Injektionen, aber auch Entwickler-Apps von Drittanbietern. Bösartiger Code kann verwendet werden, um Daten zu löschen oder vertrauliche Informationen wie Passwörter und Kreditkartennummern zu stehlen. Die wichtigste Lektion, die Sie daraus mitnehmen sollten, ist, sich nicht auf die Standardeinstellungen zu verlassen. Ihr Management- oder Gateway-Anbieter sollte in der Lage sein, Ihre individuellen Anwendungsanforderungen zu erfüllen. Fehlermeldungen sollten keine vertraulichen Informationen enthalten. Um zu verhindern, dass Identitätsdaten das System verlassen, sollten Pairwise-Pseudonyme in Token verwendet werden. Dadurch wird sichergestellt, dass kein Client zusammenarbeiten kann, um einen Benutzer zu identifizieren.
Unzureichende Protokollierung und Überwachung
Kommt es doch zu einem Angriff, benötigen Teams eine durchdachte Reaktionsstrategie. Entwickler werden weiterhin Schwachstellen ausnutzen, ohne erwischt zu werden, wenn kein zuverlässiges Protokollierungs- und Überwachungssystem vorhanden ist, was die Verluste erhöhen und der öffentlichen Wahrnehmung des Unternehmens schaden wird. Wenden Sie eine strikte API-Überwachungs- und Produktionsendpunkt-Teststrategie an. White-Hat-Tester, die Schwachstellen frühzeitig finden, sollten mit einem Prämienprogramm belohnt werden. Der Protokollpfad kann verbessert werden, indem die Identität des Benutzers in API-Transaktionen aufgenommen wird. Stellen Sie sicher, dass alle Ebenen Ihrer API-Architektur mithilfe von Zugriffstokendaten geprüft werden.
Zusammenfassung
Plattformarchitekten können ihre Systeme so ausstatten, dass sie Angreifern einen Schritt voraus sind, indem sie etablierte Schwachstellenkriterien befolgen. Da APIs den Zugriff auf personenbezogene Daten (PII) ermöglichen können, ist die Aufrechterhaltung der Sicherheit solcher Dienste sowohl für die Stabilität des Unternehmens als auch für die Einhaltung von Gesetzen wie der DSGVO von entscheidender Bedeutung. Senden Sie niemals OAuth-Token direkt über eine API, ohne ein API-Gateway und den Phantom-Token-Ansatz zu verwenden.
Beworbene API:
