Sınırsız kaynak tüketimi (API4: 2023) OWASP API Security Top 10’daki tek tehdit kategorisidir. Ancak sadece bir kategori olmasına rağmen, saldırganlar onu birçok farklı şekilde kullanabilir; Büyük dosya yüklemelerinden ve pahalı grafik sorgularından SMS Gateways veya AI/LLM API’leri gibi ölçülen üçüncü taraf hizmetlerinin kötüye kullanılmasına kadar. Bu saldırılar sadece performans bozulmasına ve hizmetin kullanılamamasına değil, aynı zamanda finansal kayıplara da yol açabilir.
Bu yazıda, API4 kapsamına giren ve Wallarm’ın katmanlı, uyarlanabilir bir yaklaşım kullanarak her birini nasıl algıladığını ve hafiflettiğini gösteren 8 gerçek dünya saldırısı senaryosunu araştırıyoruz.
Senaryo 1: Büyük bir dosya yükleme
Saldırı Vektörü: Bir saldırgan, arka ucunu işleme sırasında aşırı bellek veya disk alanı tüketmeye zorlayan bir yükleme uç noktasına (örneğin, görüntü, video veya belge yükleme) büyük bir dosya gönderir.
İş senaryosu: Kullanıcıların ürün resimlerini yüklemesine izin veren bir e-ticaret platformu hedeflenir. Saldırgan, çoklu GB dosyalarını yükler, bellek tükenmesini tekrar tekrar tetikler ve tüm kullanıcılar için uygulamayı yavaşlatır.
Wallarm Azaltma:
- Azaltma Kontrolü: Dosya Yükleme Kısıtlama İlkesi Maksimum toplam istek boyutunu ve parametre başına boyutu (örneğin, görüntü) doğrudan filtreleme düğümünde uygular ve uygulamaya ulaşmadan önce büyük boy istekleri engeller.
Senaryo 2: Yüksek gecikmeli yanıtlar
Saldırı Vektörü: Bir saldırgan, rapor oluşturma, PDF ihracatı veya analitik sorguları gibi kaynak ağırlıklı API uç noktalarını tanımlar ve bunları Sunucu yanıt sürelerini yükseltmek için bombalar.
İş senaryosu: Saldırganlar, API yoluyla pahalı rapor oluşturma işlerini tekrar tekrar tetikleyerek bir SaaS raporlama aracını hedefliyor ve meşru kullanıcılar için gecikmelere ve zaman aşımlarına neden oluyor.
Wallarm Azaltma:
- API Kötüye Kullanımı: Sınırsız Kaynak Tüketimi Tespiti Yanıt süresi anormalliklerini izler ve istismarcıları tespit etmek için uyarlanabilir eşikler uygular. Saldırı oturumları otomatik olarak kısaltılabilir veya engellenebilir.
Senaryo 3: Aşırı Yanıt Boyutu (Veri Defiltrasyonu)
Saldırı Vektörü: Saldırgan, alışılmadık derecede büyük yanıtlar döndüren, büyük veri kümelerini veya dahili bilgileri yavaşça çıkarmayı amaçlayan hazırlanmış istekler gönderir.
İş senaryosu: Bir fintech uygulaması, bir arama API’si aracılığıyla müşteri işlem verilerini ortaya çıkarır. Saldırganlar, büyük veri kümelerini kademeli olarak sorgulayarak ve zaman içinde büyük yanıtlar toplayarak kullanırlar.
Wallarm Azaltma:
- API Kötüye Kullanımı: Sınırsız Kaynak Tüketimi Tespiti Alışılmadık derecede büyük giden veri akışlarını tanımlar ve bu oturumları potansiyel kazıma veya eksfiltrasyon girişimleri olarak işaretler.
Senaryo 4: Finansal açıdan etkili API istismarı (örn.
Saldırı Vektörü: Bir saldırgan, maliyetleri artırmak ve arka uç kapasitesini tüketmek için maliyetli veya üçüncü taraf operasyonları (örn., SMS göndermek, işlemleri başlatan) tetikleyen API’leri hedefler.
İş senaryosu: Bir mobil uygulama bir API aracılığıyla SMS üzerinden 2FA sunar. Saldırganlar, API kotalarını boşaltma ve operasyonel maliyetleri artıran SMS uç noktasını spam yapma isteklerini otomatikleştirir.
Ek Örnek: Bir AI platformu, ücretli bir LLM sağlayıcısı tarafından desteklenen hızlı bir API’yı ortaya çıkarır. Saldırganlar komut dosyası, yüksek maliyetli işleme ve üçüncü taraf faturaları şişiren istemeden veya kasıtlı olarak tetiklenen hızlı gönderimleri tekrarladı.
Wallarm Azaltma:
- Azaltma Kontrolü: DOS koruması Hassas veya maliyetli uç noktalara tekrar tekrar erişim gibi, bir kullanıcı oturumunda belirli kriterlerle eşleşen aşırı istek oranlarını tespit eder
Senaryo 5: GraphQL partisi ile hız sınırı bypass
Saldırı Vektörü: GraphQL, toplu işlemi destekler ve birden fazla sorgu veya mutasyonun tek bir HTTP isteğine paketlenmesine izin verir. Saldırganlar, bu özelliği, hak başına çalışan oran sınırlayıcı mekanizmaları atlamak için bir çağrıya birçok operasyonu bir araya getirerek kötüye kullanırlar. Geleneksel hız sınırlayıcıları yalnızca bir HTTP isteği görürken, toplu her sorgu işlemeyi tüketir. Bu, saldırganların radar altında ölçekte kaba kuvvet, kazıma veya hizmet reddi eylemleri gerçekleştirmesini sağlar.
İş senaryosu: Bir Sosyal Medya API’sı birden fazla kullanıcı profilinin sorgulanmasına izin verir. Bir istekte düzinelerce sorgu toplayarak, saldırganlar hız sınırlayıcı eşikler altında kalırken büyük miktarda veri çıkarırlar.
Wallarm Azaltma:
- Azaltma Kontrolü: GraphQL API koruması Talep başına toplu işlemler üzerinde katı sınırlar ayarlamasına izin vererek, saldırganların aşırı grafik eylemleriyle aşırı yüklenmesini önler.
Senaryo 6: GraphQL sorgu kötüye kullanımı (iç içe sorgular, takma ad aşırı yükü)
Saldırı Vektörü: GraphQL’in ifade ediciliği, derin sorgu yuvalama ve takma adların kapsamlı kullanımına izin verir. Saldırganlar, aşırı özyineleme derinliği veya yüzlerce takma adla sorgu göndererek bunu sömürüyor ve arka uçları birçok yedek operasyon yürütmeye zorluyor. Her takma ad, maliyetli bir çözücü yürütmeyi tetikleyebilir ve derin yuvalama geçiş mantığını çoğaltabilir. Görünüşte geçerli olan bu sorgular CPU ve belleği bağlayabilir, hizmetleri önemli ölçüde yavaşlatabilir veya çöker.
İş senaryosu: Çevrimiçi öğrenme platformu, içerik dağıtım için GraphQL kullanır. Bir saldırgan, özyinelemeli arka uç işlemeye neden olan ve hesaplama kaynaklarını bunaltan derin iç içe sorguları hazırlar.
Wallarm Azaltma:
- Azaltma Kontrolü: GraphQL API koruması zorlar:
- Maksimum sorgu derinliği Özyineleme seviyelerini sınırlamak için
- İstek başına maksimum takma ad takma adın spam ve mantık istismarını önlemek için
Senaryo 7: Veri Bombası (Yük genişleme saldırıları)
Saldırı Vektörü: Saldırganlar, işleme sırasında büyük ölçüde genişleyen küçük yükler üretiyorlar. Örnekler arasında zip bombaları (gigabaytlara ayıran arşivler), derin iç içe JSON yapıları veya özyinelemeli varlık referanslarını kullanarak XML yükleri bulunur. Bu yükler genellikle küçük boyutları nedeniyle temel giriş validasyonunu atlar, ancak bir kez ayrıştırıldıktan sonra büyük kaynak tahsisine neden olur, bu da bellek tükenmesine, yavaşlamalara veya tam uygulama çökmelerine yol açar.
İş senaryosu: Bir dosya paylaşımı API, sıkıştırılmış dosyaları kabul eder. Bir saldırgan, ekstraksiyon sırasında gigabayt bellek tüketerek özyinelemeli dizinler veya büyük dekompresyon ayak izi içeren bir zip dosyası yükler.
Wallarm Azaltma:
- Gerçek Zamanlı Tespit isteklerin derinden ayrıştırılması ile İşlendiğinde anormal davranan yükleri (örn., Aşırı dekompresyon hızı) tanımlar ve hasar yapılmadan önce bunları engeller.
Senaryo 8: Tampon taşma saldırıları yoluyla hizmet reddi
Saldırı Vektörü: Saldırgan, bellek yolsuzluğunu, tampon taşmayı veya güvenli olmayan ayrıştırma davranışlarını tetiklemeye çalışan belirli bir parametre için büyük boy girdiler.
İş senaryosu: Dikkate değer bir gerçek dünya örneği, büyük boy HTTP başlıklarının yozlaşmış belleğe neden olabileceği ve sistem arızasına neden olabileceği Ivanti Connect Güvenli VPN cihazlarını etkileyen kritik bir yığın tabanlı tampon taşma güvenlik açığı olan CVE-2025-22457’dir.
Wallarm Azaltma:
- Azaltma Kontrolü: Dosya Yükleme Kısıtlama İlkesi Taşmaya karşı savunmasız parametrelerin kesin boyutunu sınırlandırarak sanal bir yama olarak kullanılabilir (örneğin başlıklar). Bu, hatalı şekillendirilmiş isteklerin tehlikeli bellek işlemlerinin yürütülmesini önler.
Sonuç: Bir tehdit, birçok yüz – ve tam kapsam
Hizmet reddi saldırıları artık sadece hacimsel değil. Saldırganlar artık kaynakları sessizce ve ısrarla boşaltmak için iş mantığı, API tasarımı ve arka uç davranışını kullanıyor. Bu tehlike bu OWASP API4: 2023 – Sınırsız kaynak tüketimi: Dosya yüklemelerinden ve derin iç içe sorgulardan pahalı API entegrasyonları yoluyla finansal tahliyeye kadar birçok istismar vektörünün kilidini açan tek bir kategori.
Wallarm, bu gelişen tehdit manzarasını, düğümde gerçek zamanlı hafifletme ve bulutta uyarlanabilir algılama kombinasyonu ile ele alır. Kötüye kullanımın teknik, davranışsal veya finansal olsun, Wallarm’ın araçları onu algılar, analiz eder ve yollarında durdurur.
Dosya yükleme kısıtlama politikası ve sınırsız kaynak tüketimi algılaması ile – tam API istismarı ve DOS koruma paketimizin yanında – API4: 2023 sömürüsünün bilinen her varyasyonuna karşı geniş, derin ve akıllı bir kapsam elde edersiniz.