Autoswagger, kırık yetkilendirme güvenlik açıkları için OpenAPI belgelendirilmiş API’leri tarayan ücretsiz, açık kaynaklı bir araçtır. Bu kusurlar, olgun güvenlik ekiplerine sahip büyük işletmelerde bile hala yaygındır ve özellikle tehlikelidir, çünkü çok az teknik beceri ile sömürülebilirler.
AutoSwagger, bir kuruluşun alanlarının bir listesinden başlayarak API şemalarını bir dizi ortak format ve konum boyunca tespit ederek başlar. Openapi ve Swagger belge sayfalarını tarar ve geçerli şemaları bulmak için her ana bilgisayara istek gönderir. Belirlendikten sonra, API spesifikasyonlarını ayrıştırır ve her uç noktasının tanımını, gerekli parametreleri ve beklenen veri türlerini dikkate alarak test etmek için bir uç nokta listesi oluşturur.
Oradan, Autoswagger, kırık yetkilendirme kusurlarını tanımlamak için hedeflenen taramaları yürütür:
- Belgelerden çekilen geçerli parametreleri kullanarak her uç noktaya istek gönderme.
- Beklenen HTTP 401 veya 403 hataları yerine geçerli bir yanıt döndüren ve normalde uygun erişim kontrolünü gösteren işaretleme.
- Kimlik doğrulamanın eksik veya etkisiz olduğu uç noktaları vurgulamak.
- Daha gelişmiş kullanım durumları için Autoswagger,
--bruteDoğrulama kontrollerini atlamak için bayrak. Bu, genel girişi reddedebilecek belirli veri formatları veya değerleri gerektiren uç noktalardaki kusurları ortaya çıkarmaya yardımcı olur.
Araç, PII, kimlik bilgileri veya dahili kayıtlar gibi maruz kalan hassas verilerin belirtileri için başarılı yanıtları analiz eder. Herhangi bir uç nokta eksik uygun kimlik doğrulaması ve geri dönen hassas bilgiler çıktı raporuna dahil edilmiştir.
Intruder güvenlik başkanı Daniel Andrew, “API’nız için belgeleri ortaya çıkarmak, saldırı yüzeyinizi etkili bir şekilde artırıyor ve derinlemesine bir savunma olarak, bir iş gereksinimi olmadıkça API belgelerini ortaya çıkarmamalısınız” dedi. “Buradaki ders, her bir geliştirme yinelemesinden sonra düzenli API taramasının yanı sıra, bundan kaçınamadığınız sürece API’lerinizi herkese açık bir şekilde belgelememeniz gerektiğidir. ‘Harita’ olmadan, bu tür bir güvenlik açığı saldırganların sömürülmesi çok zorlaşıyor.”
Autoswagger GitHub’da ücretsiz olarak kullanılabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!