Как избежать апокалипсиса: руководство по поиску зомби-API

Блог

ДомДом / Блог / Как избежать апокалипсиса: руководство по поиску зомби-API

Jun 09, 2023

Как избежать апокалипсиса: руководство по поиску зомби-API

Главная » Сеть блоггеров по безопасности » Как избежать апокалипсиса: руководство по поиску

Главная » Сеть блоггеров по безопасности » Как избежать апокалипсиса: руководство по поиску зомби-API

Рассмотрим эту статистику из недавнего отчета Noname Security. Больше, чем87% респондентов обеспокоены рисками безопасности, связанными с устаревшими или ненужными API. В мире взлома API мы называем ихзомби-API.

Вы знаете, о каком типе конечной точки API я говорю. Это те забытые API, которые больше не поддерживаются, но все еще существуют для «обратной совместимости». Эти API могут устареть, стать ненадежными и уязвимыми для взлома. Потенциальный риск безопасности для любого приложения, которое их использует.

Это такой важный класс уязвимости. Он приземляется как#9в списке 10 лучших по безопасности API OWASP 2023 года как API9:2023 Неправильное управление запасами.

Давайте поговорим об этом, прежде чем вы получите плохой код и присоединитесь к нежити. (стон… да, это довольно плохая шутка про зомби)

Поиск зомби-API имеет для нас решающее значение, поскольку эти забытые API могут стать золотой жилой уязвимостей и лазеек в безопасности. Мы можем использовать эти уязвимости для получения несанкционированного доступа к данным, обхода мер безопасности, добавленных в более поздние версии, и даже поставить под угрозу целые системы, если текущие исправления не поддерживаются.

API со временем становятся более хрупкими. Вот почему в лучших практиках безопасности API всегда говорится о закрытии и отключении старых версий.

Но команды безопасности, которые управляют рисками, не всегда знают об открытых API из-за разрастания API. А когда больше трети(35%) организаций ежедневно выпускают обновления своих API, а еще больше40%делайте это еженедельно, с точки зрения безопасности становится гораздо сложнее отслеживать весь трафик API.

Вот еще один важный вывод исследования Noname Security. Ожидается, что благодаря миграции существующих приложений в облако и внедрению услуг на базе SaaS, которые приносят новую ценность для бизнеса, в течение следующих двух лет более 50% опрошенных организаций будут иметь активные API, развернутые во всех своих приложениях.

В сочетании с архитектурой приложений, ориентированной на API, которая в наши дни становится все более распространенной среди разработчиков, быстрое создание API, несомненно, приведет к еще большему разрастанию API и риску появления более уязвимых API.

Хотя строгая стратегия управления API может помочь снизить этот риск, реальность такова, что трудно управлять разрастанием API, когда команда приложения использует сторонние API и в то же время подключает данные к внутренним и внешним системам, которых у групп безопасности может не быть. видимость для.

Если вы хотите идентифицировать зомби-API внутри организации, вы можете предпринять несколько шагов.

Первый шаг включает в себя создание инвентаризации всех API, используемых в целевой организации. Сюда входят как внутренние, так и внешние API. Это поможет вам понять масштабы использования API и выявить потенциальных зомби, которые могут существовать. Инструменты обнаружения API могут помочь здесь во время разведки.

После того, как у вас есть инвентарь API, вы можете начать анализировать их использование. Это включает в себя анализ количества запросов, сделанных к каждому API, того, кто делает запросы, и того, как эти API используются. Это может помочь вам определить API, которые больше не используются или используются только устаревшими системами. Это гораздо сложнее сделать, если вы ограничены тестированием «черного ящика». Однако, если вы можете получить доступ к данным трафика шлюза API, вы обычно можете их проанализировать.

Важно проверить, есть ли у целевых API управление версиями. Управление версиями обеспечивает поддержку обратной совместимости со старыми версиями конечной точки API. Это также означает, что более старые версии могут больше не поддерживаться и могут быть уязвимы. Проверьте метаданные, такие как URL-адреса, файлы cookie, утверждения в токенах доступа, пользовательские заголовки HTTP и параметры HTTP-запроса, на наличие очевидных артефактов управления версиями. Если вы обнаружите устаревшие версии API, вам следует в первую очередь рассмотреть возможность атак на них.

API часто игнорируются и не поддерживаются. Признаками пренебрежения являются устаревшая документация, отсутствие обновлений, а также отсутствие поддержки или контактной информации. Если вы встретите какие-либо API с этими признаками, они могут быть зомби. Обратите особое внимание на метаданные, которые могут раскрыть старые платформы и сервисы. Нередко можно встретить старую версию API, работающую в очень старых образах контейнеров, которые могут быть уязвимыми.