Açık Web Uygulaması Güvenliği Projesi (OWASP), dünya çapında yazılım güvenliğini artırmak için çalışır. OWASP’ın iyi bilinen İlk 10 listesi, web uygulamalarına yönelik en kritik güvenlik riskleri hakkında farkındalığı artırır.
Günümüzün uygulama odaklı ekonomisinin temeli olarak API’ler bu risklerin en üstüne çıktı. API kullanımı patladı ve hem harici hem de dahili uygulamalarda yaygınlaştı. OWASP, benzersiz API güvenlik açıklarını ve bunlara yönelik artan tehditleri anlamak ve azaltmak için ilk OWASP API Security Top 10’unu yayınladı.
Liste, şirketlere API’lerde bulunabilecek yaygın zayıflıklar ve güvenlik kusurları hakkında bilgi edinmek için iyi bir başlangıç noktası sağlar. Bunlardan en yaygın olanları:
- BOLA (Bozuk Nesne Seviyesi Yetkilendirmesi)
- Bozuk Kullanıcı Kimlik Doğrulaması
- Aşırı Veriye Maruz Kalma
- Güvenlik Yanlış Yapılandırması
O İDİ
Tüm API saldırılarının yaklaşık %40’ını oluşturan, bozuk nesne düzeyinde yetkilendirme – veya BOLA – en yaygın API tehdidini temsil eder. Saldırganlar, bir API isteği içinde gönderilen bir nesnenin kimliğini değiştirerek BOLA’ya karşı savunmasız olan API uç noktalarından kolayca yararlanabilir. Sunucu bileşeni tipik olarak istemcinin durumunu tam olarak izlemediğinden, bu güvenlik açıkları API tabanlı uygulamalarda oldukça yaygındır.
BOLA yetkilendirme kusurları, verilerin yetkisiz olarak görüntülenmesi, değiştirilmesi veya imha edilmesinin yanı sıra veri hırsızlığına da yol açabilir. BOLA ayrıca tam hesap devralmaya (ATO) da yol açabilir.
Otomatik statik veya dinamik testler, BOLA yetkilendirme kusurlarını kolayca tespit edemez. WAF’ler ve API ağ geçitleri gibi geleneksel güvenlik denetimleri de API bağlamını anlayamadıkları ve bu nedenle normal API davranışını temel alamadığı için bu tür saldırıları kaçırır.
Bozuk Kullanıcı Kimlik Doğrulaması
Bozuk kullanıcı kimlik doğrulaması, saldırganların uygulamalara yetkisiz erişim elde etmek için çalıntı kimlik doğrulama belirteçleri, kimlik bilgisi doldurma ve kaba kuvvet saldırıları kullanmasına olanak tanır. Saldırganlar, kullanıcı hesaplarını ele geçirebilir, başka bir kullanıcının verilerine yetkisiz erişim sağlayabilir ve yetkisiz işlemler yapabilir. Kimlik doğrulama mekanizmaları, özellikle tamamen ifşa veya herkese açıksa, saldırganlar için kolay bir hedef sunar.
API’lerde kimlik doğrulamanın bozulmasına neden olabilecek teknik faktörler arasında, diğerlerinin yanı sıra, zayıf parola karmaşıklığı, eksik hesap kilitleme eşikleri, parola/sertifika rotasyonları için aşırı uzun süreler veya tek kimlik doğrulama materyali olarak API anahtarlarının kullanılması yer alır.
Geleneksel güvenlik denetimleri, zaman içinde saldırı trafiğini izleme yeteneğinden yoksun olduğundan, kimlik doğrulamayı hedefleyen farklı gelişmiş saldırı biçimlerinin şifresini çözemezler.
Aşırı Veriye Maruz Kalma
API’ler genellikle bir API yanıtında gerekenden daha fazla bilgi gönderir ve verileri filtrelemeyi istemci uygulamasına bırakır. Ancak, saldırganlar istemci tarafı web ve mobil uygulama kodunu düzenli olarak atladığından ve doğrudan API’leri çağırdığından, hassas verileri filtrelemek için istemci tarafı koduna güvenmek sorunlara neden olur.
Aşırı veriye maruz kalma durumunda, saldırganlar API’nin gerekenden daha fazla bilgi sağlayacağını umuyor – ideal olarak, daha karmaşık saldırılarda kullanabilecekleri bilgiler. Örneğin, kullanıcı bilgileri için bir API isteği, yöneticinin kullanıcı adını, çok faktörlü kimlik doğrulama durumunu ve orijinal istek için tamamen gereksiz olan diğer verileri de üretebilir.
Geleneksel güvenlik taraması ve çalışma zamanı algılama araçları bazen bu tür güvenlik açığı konusunda uyarı verir, ancak API’den döndürülen meşru veriler ile döndürülmemesi gereken hassas veriler arasında ayrım yapamazlar.
Güvenlik Yanlış Yapılandırması
Çoğu zaman API güvenliğini bir bütün olarak olumsuz etkileyen ve istemeden güvenlik açıklarına yol açabilen birçok yanlış güvenlik yapılandırması mevcuttur. Güvenlik yanlış yapılandırmaları, güvenli olmayan varsayılan yapılandırmaları, eksik yapılandırmaları, yanlış yapılandırılmış HTTP başlıklarını, ayrıntılı hata mesajlarını, açık bulut depolamayı ve daha fazlasını içerebilir.
Yanlış yapılandırmalar, saldırganların keşif aşamasında uygulama ve API bileşenleri hakkında bilgi edinmelerini sağlar. Saldırganlar, saldırılarını API’lere yönlendirmek için yanlış yapılandırmalardan da yararlanabilir.
API Saldırılarına Karşı Savunma, Bağlam Gerektirir
API’ler doğası gereği uygulama mantığını ortaya çıkarır. Bilgisayar korsanları, bu iş mantığında yararlanabilecekleri boşlukları belirlemeye çalışmak için birçok deney yaparlar. Bunun gibi saldırıları yaymak için gereken keşif çok zaman alıyor. Tek bir API saldırısının ortaya çıkması saatler, günler ve hatta haftalar alabilir.
Bunlara karşı savunmak için kuruluşların zaman içinde büyük miktarda API trafiğini ve API etkinliğini analiz etmesi gerekir. BOLA gibi kötüye kullanımları tespit etmek, milyonlarca API çağrısının ve kullanıcısının sürekli olarak izlenmesini gerektirir. Büyük ölçekli veri analizi, neredeyse gerçek zamanlı olarak, tipik API etkinliğine ve uyumsuz anormalliklere ilişkin bir temel oluşturmak için çok önemlidir – bu, bağlam ekiplerinin API kötüye kullanımlarını tespit etmek için ihtiyaç duyduğu türdendir.
Meşru istekler ile uygun kimlik doğrulaması veya yetkilendirmesi olmayan istekler arasında ayrım yapmak da zengin bağlam gerektirir. Kuruluşların, çok fazla veri sızdırma veya yetkisiz özel verilere erişim sağlama girişimlerini belirlemek için tüm API etkinliğini analiz etmesi gerekir.
Sunucu veya VM tabanlı API güvenlik yaklaşımları, günümüzün karmaşık API saldırılarını tanımlamak için zaman içinde yeterince geniş bir veri kümesine sahip değildir. Yalnızca AI ve ML ile birleştirilmiş bulut ölçeğinde büyük veriler, milyonlarca kullanıcı ve API çağrılarında yüzlerce özelliği toplayabilir, depolayabilir ve hızlı bir şekilde analiz edebilir ve bunları ilişkilendirebilir. Bulut ölçeğinde büyük veriler, kuruluşların API’lerini korumak için ihtiyaç duyduğu bağlamın genişliğini ve derinliğini sağlar.