Saldırganlar bulut ve mobil hizmetleri tehlikeye atmak için Web uygulama programlama arabirimlerini (API’ler) giderek daha fazla test ettiğinden, web ve mobil uygulama geliştiricilerinin güvenli uygulamalar oluştururken daha dikkatli olmaları gerekir.
Güvensiz doğrudan nesne referansı (IDOR) olarak bilinen belirli bir yaygın API güvenlik açıkları sınıfı, özellikle zararlıdır çünkü “geliştirme süreci dışında önlenmesi zordur ve geniş ölçekte kötüye kullanılabilirler”, Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi ( ACSC), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve ABD Ulusal Güvenlik Ajansı (NSA), Temmuz ayı sonunda ortak bir danışma belgesinde açıkladı. IDOR güvenlik açıkları, bir uygulama, kimlik doğrulama veya yetkilendirmeyi düzgün bir şekilde kontrol etmeden, bir anahtar veya tanımlayıcı kullanarak bilgilere veya Web kaynaklarına erişilmesine izin verdiğinde ortaya çıkar.
Ortak hükümet danışma belgesi, API güvenlik açıklarından sıklıkla yararlanmanın kolay olduğunu ve geniş ölçekte otomasyon kullanılarak saldırıya uğrayabileceğini vurguladı.
Hükümet danışma belgesinde “Bu güvenlik açıkları yaygındır ve her kullanım durumu benzersiz olduğundan ve basit bir kitaplık veya güvenlik işleviyle hafifletilemeyeceğinden, geliştirme sürecinin dışında önlenmesi zordur.” “Ayrıca, kötü niyetli aktörler, otomatik araçlar kullanarak bunları büyük ölçekte tespit edip istismar edebilir. Bu faktörler, son kullanıcı kuruluşlarını, bilgilerin istemeden açığa çıktığı durumlarda veri sızıntısı veya kötü niyetli bir aktörün açığa çıkan hassas bilgileri elde ettiği büyük ölçekli veri ihlalleri riskine sokar. .”
Şirketler zaten Web uygulamalarında gevşek güvenliğin kurbanı oldular. 2021’de, genellikle takip yazılımı olarak adlandırılan en az bir popüler izleme uygulamasının API’sindeki güvenlik açıkları, arama kayıtlarını, mesajları, fotoğrafları ve diğer geçmişi açığa çıkardı. Aynı yıl, Pen Test Partners’daki araştırmacılar, Peloton fitness ekipmanı API’sinin, kimliği doğrulanmamış saldırganlar tarafından aboneler hakkında bilgi toplamak için kullanılabilecek uç noktalara sahip olduğunu keşfetti – tanınmış bir üye, şu anki Amerika Birleşik Devletleri Başkanıdır.
Cequence hacker’ı Jason Kent, sorunların yeni olmadığını, ancak API’lerin yalnızca İnternet’te değil, aynı zamanda IoT cihazlarına, arabalara ve araçlara bağlanmanın bir yolu olarak geniş çapta dağıtıldığı için giderek daha önemli hale geldiğini söylüyor. Security, bir API güvenlik firması.
“Son birkaç yılda API’lerin hızla benimsenmesi, bunun artık İnternet’in temeli olduğu gerçeğine gerçekten işaret ediyor” diyor. “Bunlar çalışırken ve birbirleriyle konuşurken her yere telematik veriler gönderiyoruz. Dünyayı ayakta tutan API’lerin bu omurgasını oluşturuyoruz ve bunun güvenliği ileriye dönük olarak son derece önemli olacak.”
Web API Kusurları Yaygındır
Marsh McLennan’ın ABD şirketlerinin 2022’de API güvenlik açıkları nedeniyle 12 ila 23 milyar dolar kaybedeceğini tahmin ettiği bir analizle, güvenli olmayan Web API’lerinden kaynaklanan kayıplar tavan yaptı.
Açık Dünya Çapında Uygulama Güvenliği Projesi (OWASP), Temmuz ayı başlarında API güvenlik sorunlarının güncellenmiş ilk 10 listesini yayınladı ve IDOR güvenlik açıkları – Kırık Nesne Düzeyinde Yetkilendirme (BOLA) kusurları olarak anılır – listenin en üst noktasını süsledi. OWASP API Güvenlik Projesi’nin eş lideri Paulo Silva, başlıca hizmetlerden alınan verilere göre, API güvenlik açıkları sınıfının tipik bir hata ödülü taahhüdünde bulunanların yaklaşık dörtte birini oluşturduğunu söylüyor.
“Etik bir bilgisayar korsanı olarak deneyimlerime dayanarak [and] pentester, BOLA vakalarının çoğunda kimlik doğrulamanın yerinde olduğunu söyleyebilirim: BOLA sorunlarından yararlanmak için geçerli bir kullanıcı hesabına ihtiyacım var” diyor ve ekliyor: “Yetkilendirmenin doğru bir şekilde uygulandığını varsayarsak, size izinsiz girdikten sonra yalnızca kurbanınızın izin verdiği kaynaklara erişebilir [or] izni var.”
Birçok uygulama, anahtarları ve tanımlayıcıları rastgele seçerek rotaları ve uç noktaları (bir uygulama kaynağının adresi) tahmin etmesi zor hale getirmeye çalışır, ancak bu yalnızca belirsizlik yoluyla güvenliktir. Silva, trafiği izleyerek veya başka bir yaklaşımla API adresini yakalayabilen bir saldırganın, API’nin kriptografik olarak güçlü, rasgele değerler kullanması nedeniyle daha az ciddi veya rahatsız edici olmayan bir etkiye sahip olacağını söylüyor.
“Önceki veya sonraki tanımlayıcının ne olduğunu bilmemem sorunu engellemiyor” diyor. “Riski de azaltmıyor: Başka bir kullanıcının özel kaynağına ait geçerli bir tanımlayıcı bulur bulmaz, yetkilendirme mekanizması yoksa veya düzgün çalışmıyorsa onu getirebileceğim.”
Geliştiricileri Eğitin, Uygulamaları İzleyin
Geliştiriciler, Web uygulamalarının güvenli tasarımı konusunda kendilerini eğitmeye ve kodlarını ortak API kusurları ve yanlış yapılandırmalara karşı kontrol etmek için analiz araçlarını kullanmaya odaklanmalıdır. Cequence’den Kent ayrıca, zaten dağıtılmış olan kodun, uygulama sahibinin bir güvenlik tasarım belgesi oluşturduğu, uygulamayı bu belgeyle karşılaştırdığı ve spesifikasyonu test etmek için gerçek kullanıcıları kullandığı bir güvenlik analizi sürecinden geçmesi gerektiğini söylüyor.
“Birinin canlı verilerini gözden geçirmesini ve gerçekten platformu kullanmasını izlemek, geliştiricilere neyi değiştirmeleri gerektiğine dair çok daha derin bir görüş sağlıyor” diyor. “Kredi kartı numaralarını, sosyal güvenlik numaralarını veya herhangi bir hassas veriyi sızdırıyor olsak da bunu yapabilirsiniz.”
Buna ek olarak, bir API güvenlik firması olan Wallarm’ın ürün başkanı Tim Erlin, bir web uygulaması güvenlik duvarı eklemenin hem uygulamayı denetlemeye hem de geliştiricilerin henüz bilmedikleri sorunlar için saldırılara karşı koruma sağlamalarına yardımcı olabileceğini söylüyor.
“İdeal bir dünyada, IDOR güvenlik açıkları doğrudan etkilenen uygulama veya API kodunda giderilir, ancak çoğu durumda güvenlikten sorumlu ekiplerin bu kod üzerinde doğrudan denetimi yoktur” diyor. “CISA’nın bir web uygulaması güvenlik duvarı uygulama önerisi daha yüksek bir öncelik olmalı ve API’lere yönelik saldırıları tespit etme ve engelleme yeteneklerini açıkça içermelidir. Güvenlik ekiplerinin, geliştiricileri, kendilerinin veya bir satıcının yazılımını beklerken proaktif eylemde bulunabileceklerini bilmeleri gerekir. , keşfedilen güvenlik açıklarını düzeltmek için.”