最常被利用的三類API漏洞
責編:gltian |2021-09-07 10:01:03
應用程序編程接口 (API) 已成為將當今APP經濟的粘合劑,同時也正在成為黑客攻擊的頭號目標。API的運行方式與URL的運行方式大致相同,用戶使用Web搜索時,頁面展示結果是動態的,以手機銀行應用程序為例,API也以類似的方式運行,它可以獲取用戶的姓名、賬號和賬戶余額,并相應地填充交互頁面中的字段。但API更容易受到攻擊者的青睞,因為API包括所有安全檢查,并且通常直接與后端服務通信。
應用程序安全方面一直存在一個問題:輸入驗證。如果沒有適當的功能和安全測試,API可能會成為一個完美的攻擊點。因為API受應用程序信任,可以進行高速、海量數據交換。
三類常見的API漏洞
通過對大量應用程序安全市場客戶的調查,并參考開放Web應用程序安全項目 (OWASP) 后,調查人員匯總了以下三類最常見的API漏洞:
- Broken Object Level Authorization (BOLA):BOLA的通俗定義是對對象訪問請求的驗證不充分,它允許攻擊者通過重用訪問令牌來執行未經授權的操作。Peloton事件是最近諸多BOLA利用中比較有名的一個案例,攻擊者可以查看包括標有私人事件在內的,幾乎所有用戶的個人資料。此類攻擊可能影響到從開發到運營,再到營銷和公共關系的每個業務組。
- 無效的用戶身份驗證:此類漏洞的準確定義是“身份驗證機制中的實施缺陷”,允許攻擊者冒充合法用戶。這里關聯兩種常見的漏洞利用類型:第一個是由自動化機器人執行的憑證填充。查找有用戶身份驗證缺陷的API是自動攻擊的理想目標。此漏洞的更復雜用途是進行偵察,以確定API的工作方式。例如我們輸入“a@a.com /”密碼的用戶名/密碼組合,應用程序顯示“密碼無效”,那么攻擊者就會知道用戶名是有效的。攻擊者將使用此數據點來增加憑證填充(或其他類型的攻擊)成功的機會。
- 資產管理不當:此API缺陷是環境隔離和管理不足的結果,允許攻擊者訪問安全性不足的API端點。在農機企業約翰迪爾的安全事件中,可能就是由于開發人員API無需編輯即可訪問生產數據,進而暴露了約翰迪爾客戶的系統。屬于此類別的其他漏洞還包括未監控開發API中的敏感數據,以及讓已棄用的仍API處于在線或公開狀態。
目前API安全事件層出不窮,無論企業用戶使用的是API 優先方法,還是剛剛開始由API 輔助的數字化轉型之旅,了解API存在的漏洞以及相關風險都是至關重要的。
來源:安全牛