頂級 OATH API 漏洞
頂級 OATH API 漏洞:簡介
談到漏洞利用,API 是最好的起點。 API access通常由三部分組成。 客戶端由與 API 一起運行的授權服務器頒發令牌。 API 從客戶端接收訪問令牌,並根據它們應用特定於域的授權規則。
現代軟件應用程序容易受到各種危險的影響。 及時了解最新的漏洞利用和安全漏洞; 對這些漏洞進行基準測試對於在攻擊發生之前確保應用程序安全至關重要。 第三方應用程序越來越依賴於 OAuth 協議。 得益於這項技術,用戶將擁有更好的整體用戶體驗,以及更快的登錄和授權。 它可能比傳統授權更安全,因為用戶不必為了訪問給定資源而向第三方應用程序公開其憑據。 雖然協議本身是安全可靠的,但它的實施方式可能會讓您容易受到攻擊。
在設計和託管 API 時,本文重點關注典型的 OAuth 漏洞以及各種安全緩解措施。
損壞的對象級別授權
由於 API 提供對對象的訪問,因此如果違反授權,則攻擊面很大。 由於 API 可訪問的項目必須經過身份驗證,因此這是必要的。 使用 API 網關實施對象級授權檢查。 只有那些擁有適當權限憑據的人才能被允許訪問。
損壞的用戶身份驗證
未經授權的令牌是攻擊者獲取 API 訪問權限的另一種常見方式。 身份驗證系統可能被黑客攻擊,或者 API 密鑰可能被錯誤地暴露。 身份驗證令牌可能是 被黑客利用 獲取訪問權限。 僅在可以信任的情況下對人員進行身份驗證,並使用強密碼。 使用 OAuth,您可以超越單純的 API 密鑰並訪問您的數據。 您應該始終考慮如何進出某個地方。 OAuth MTLS Sender Constrained Tokens 可以與 Mutual TLS 結合使用,以保證客戶端在訪問其他機器時不會行為不當並將令牌傳遞給錯誤的一方。
API推廣:
過多的數據暴露
可以發布的端點數量沒有限制。 大多數時候,並非所有用戶都可以使用所有功能。 通過暴露比絕對必要更多的數據,您將自己和他人置於危險之中。 避免洩露敏感信息 信息 直到絕對必要為止。 開發人員可以通過使用 OAuth 範圍和聲明來指定誰有權訪問什麼。 聲明可以指定用戶有權訪問數據的哪些部分。 通過使用跨所有 API 的標準結構,可以使訪問控制變得更簡單和更容易管理。
缺乏資源和速率限制
黑帽黑客經常使用拒絕服務 (DoS) 攻擊作為壓倒服務器的蠻力方式,從而將其正常運行時間降至零。 由於對可以調用的資源沒有限制,API 很容易受到破壞性攻擊。 '使用API網關或管理工具,您可以設置API的速率限制。 應包括過濾和分頁,以及限制答案。
安全系統配置錯誤
由於安全配置錯誤的可能性很大,因此不同的安全配置指南相當全面。 一些小事情可能會危及您平台的安全。 例如,別有用心的黑帽黑客可能會發現為響應格式錯誤的查詢而發送的敏感信息。
批量分配
端點未公開定義並不意味著開發人員無法訪問它。 秘密 API 很容易被黑客攔截和逆向工程。 看看這個基本示例,它在“私有”API 中使用開放的 Bearer Token。 另一方面,可能存在專供個人使用的公共文檔。 黑帽可能會使用公開的信息來讀取和操縱對象特徵。 當您尋找防禦中的潛在弱點時,請將自己視為一名黑客。 只允許具有適當權限的人訪問返回的內容。 為最大限度地減少漏洞,請限制 API 響應包。 受訪者不應添加任何非絕對必需的鏈接。
推廣API:
資產管理不當
除了提高開發人員的工作效率之外,當前版本和文檔對於您自身的安全至關重要。 提前做好引入新版本和棄用舊 API 的準備。 使用更新的 API,而不是讓舊的 API 繼續使用。 API 規範可以用作文檔的主要真實來源。
注射
API 容易受到注入攻擊,但第三方開發人員應用程序也是如此。 惡意代碼可用於刪除數據或竊取密碼和信用卡號等機密信息。 從中吸取的最重要的教訓是不要依賴於默認設置。 您的管理或網關供應商應該能夠滿足您獨特的應用程序需求。 錯誤消息不應包含敏感信息。 為防止身份數據洩露到系統外,令牌中應使用 Pairwise Pseudonyms。 這確保沒有客戶端可以一起工作來識別用戶。
日誌記錄和監控不足
當攻擊確實發生時,團隊需要經過深思熟慮的反應策略。 如果沒有可靠的日誌記錄和監控系統,開發人員將繼續利用漏洞而不被發現,這將增加損失並損害公眾對公司的看法。 採用嚴格的 API 監控和生產端點測試策略。 早期發現漏洞的白帽測試人員應該獲得賞金計劃獎勵。 可以通過將用戶身份包含到 API 事務中來改進日誌跟踪。 確保使用訪問令牌數據審核 API 架構的所有層。
結論
平台架構師可以通過遵循既定的漏洞標準來裝備他們的系統,使其比攻擊者領先一步。 由於 API 可以提供對個人身份信息 (PII) 的訪問,因此維護此類服務的安全對於公司穩定和遵守 GDPR 等法規至關重要。 切勿在不使用 API 網關和 Phantom 令牌方法的情況下直接通過 API 發送 OAuth 令牌。
推廣API:
