顶级 OATH API 漏洞
顶级 OATH API 漏洞:简介
谈到漏洞利用,API 是最好的起点。 API access通常由三部分组成。 客户端由与 API 一起运行的授权服务器颁发令牌。 API 从客户端接收访问令牌,并根据它们应用特定于域的授权规则。
现代软件应用程序容易受到各种危险的影响。 及时了解最新的漏洞利用和安全漏洞; 对这些漏洞进行基准测试对于在攻击发生之前确保应用程序安全至关重要。 第三方应用程序越来越依赖于 OAuth 协议。 得益于这项技术,用户将拥有更好的整体用户体验,以及更快的登录和授权。 它可能比传统授权更安全,因为用户不必为了访问给定资源而向第三方应用程序公开其凭据。 虽然协议本身是安全可靠的,但它的实施方式可能会让您容易受到攻击。
在设计和托管 API 时,本文重点关注典型的 OAuth 漏洞以及各种安全缓解措施。
损坏的对象级别授权
由于 API 提供对对象的访问,因此如果违反授权,则攻击面很大。 由于 API 可访问的项目必须经过身份验证,因此这是必要的。 使用 API 网关实施对象级授权检查。 只有那些拥有适当权限凭据的人才能被允许访问。
损坏的用户身份验证
未经授权的令牌是攻击者获取 API 访问权限的另一种常见方式。 身份验证系统可能被黑客攻击,或者 API 密钥可能被错误地暴露。 身份验证令牌可能是 被黑客使用 获取访问权限。 仅在可以信任的情况下对人员进行身份验证,并使用强密码。 使用 OAuth,您可以超越单纯的 API 密钥并访问您的数据。 您应该始终考虑如何进出某个地方。 OAuth MTLS Sender Constrained Tokens 可以与 Mutual TLS 结合使用,以保证客户端在访问其他机器时不会行为不当并将令牌传递给错误的一方。
API推广:
数据泄露过多
可以发布的端点数量没有限制。 大多数时候,并非所有用户都可以使用所有功能。 通过暴露比绝对必要更多的数据,您将自己和他人置于危险之中。 避免泄露敏感信息 信息 直到绝对必要为止。 开发人员可以通过使用 OAuth 范围和声明来指定谁有权访问什么。 声明可以指定用户有权访问数据的哪些部分。 通过使用跨所有 API 的标准结构,可以使访问控制变得更简单和更容易管理。
缺乏资源和速率限制
黑帽黑客经常使用拒绝服务 (DoS) 攻击作为压倒服务器的蛮力方式,从而将其正常运行时间降至零。 由于对可以调用的资源没有限制,API 很容易受到破坏性攻击。 '使用API网关或管理工具,您可以设置API的速率限制。 应包括过滤和分页,以及限制答案。
安全系统配置错误
由于安全配置错误的可能性很大,因此不同的安全配置指南相当全面。 一些小事情可能会危及您平台的安全。 例如,别有用心的黑帽黑客可能会发现为响应格式错误的查询而发送的敏感信息。
批量分配
端点未公开定义并不意味着开发人员无法访问它。 秘密 API 很容易被黑客拦截和逆向工程。 看看这个基本示例,它在“私有”API 中使用开放的 Bearer Token。 另一方面,可能存在专供个人使用的公共文档。 黑帽可能会使用公开的信息来读取和操纵对象特征。 当您寻找防御中的潜在弱点时,请将自己视为一名黑客。 只允许具有适当权限的人访问返回的内容。 为最大限度地减少漏洞,请限制 API 响应包。 受访者不应添加任何非绝对必需的链接。
推广API:
资产管理不当
除了提高开发人员的工作效率之外,当前版本和文档对于您自身的安全至关重要。 提前做好引入新版本和弃用旧 API 的准备。 使用更新的 API,而不是让旧的 API 继续使用。 API 规范可以用作文档的主要真实来源。
注射
API 容易受到注入攻击,但第三方开发人员应用程序也是如此。 恶意代码可用于删除数据或窃取密码和信用卡号等机密信息。 从中吸取的最重要的教训是不要依赖于默认设置。 您的管理或网关供应商应该能够满足您独特的应用程序需求。 错误消息不应包含敏感信息。 为防止身份数据泄露到系统外,令牌中应使用 Pairwise Pseudonyms。 这确保没有客户端可以一起工作来识别用户。
日志记录和监控不足
当攻击确实发生时,团队需要经过深思熟虑的反应策略。 如果没有可靠的日志记录和监控系统,开发人员将继续利用漏洞而不被发现,这将增加损失并损害公众对公司的看法。 采用严格的 API 监控和生产端点测试策略。 早期发现漏洞的白帽测试人员应该获得赏金计划奖励。 可以通过将用户身份包含到 API 事务中来改进日志跟踪。 确保使用访问令牌数据审核 API 架构的所有层。
结论
平台架构师可以通过遵循既定的漏洞标准来装备他们的系统,使其比攻击者领先一步。 由于 API 可以提供对个人身份信息 (PII) 的访问,因此维护此类服务的安全性对于公司稳定和遵守 GDPR 等法规至关重要。 切勿在不使用 API 网关和 Phantom 令牌方法的情况下直接通过 API 发送 OAuth 令牌。
推广API:
