Bu yılın başlarında, burada İngiltere’de bulunan Fortune 500 misafirperverlik sağlayıcısının giriş uygulama programlama arayüzlerine (API’ler) karşı 11 milyondan fazla benzersiz IP adresindeki bir botnet kullanıldığında, şimdiye kadarki en büyük iş mantığı kötüye kullanımı vakalarından biri tespit edildi. Saldırganlar, geçerli kullanıcı hesaplarını tanımlamak ve ödeme ayrıntılarını almak için kimlik bilgisi doldurma kullanmaya çalıştılar ve iki nedenden dolayı olağan güvenlik önlemlerini tetiklemekten kaçınabildiler.
Birincisi, saldırıyı yılın en yoğun günlerinden birine, Sevgililer Günü için yılın en yoğun günlerinden birine gerçekleştirdiler, böylece bu API’lere yapılan yüksek seslendirme çağrıları olağandışı kabul edilmedi. İkincisi, saldırı iş mantığı güvenlik açıklarını kötüye kullandığı için, kesinlikle bir saldırı değildi. Şirketin API’lerine yapılan çağrılar, hesaplara giriş yapmak için mükemmel bir şekilde meşru taleplerdi.
Meşru ve sözdizimsel olarak doğru olan bu çağrıların tespit edilmesi zordur. Örneğin, saldırı sırasında, gerçek trafiği taklit etmek için konut proxy ağları kullanıldı, böylece saldırı 28 milyon güvenlik olayıyla sonuçlansa da, bunlar sadece benzersiz IP adresi başına üç olaya eşdeğerdi ve bu nedenle alarmı sınırlamayı veya artışı tetiklemedi. Sonuç olarak, saldırı önleme sistemleri, web uygulaması güvenlik duvarları (WAF) veya güvenlik ağ geçitleri gibi güvenlik önlemleri genellikle saldırıyı tespit etmek için mücadele ederdi.
Bu özel durumda saldırı engellendi çünkü işletme IP tabanlı algılama sistemlerine tamamen bağımlı değildi, ancak davranış tabanlı tespiti kullanabildi. API’lara olan trafiği izleyerek ve başlıklarını ve yüklerini analiz ederek ve davranış ve niyeti belirlemek için yerel modelleri kullanarak saldırının davranışsal bir parmak izi oluşturulabilir. Bu daha sonra, bir IP adres listesi yüklemeye gerek kalmadan kötü amaçlı trafiği engellemek için bir politika uygulamak için kullanıldı.
Ancak saldırının gösterdiği şey, bu saldırıların ne kadar iddialı olduğu. İş mantığı kötüye kullanımı artık API’lere yönelik en büyük saldırı türüdür ve AA çeyreğinden fazla saldırı (%27). Ancak işletmeler hala eski kurallara dayanıyor, açık yüksek hacimli saldırılar veya saldırganlar artık daha ince teknikleri tercih ettiğinde kodlama hataları gibi güvenlik açıklarının kullanımı arayan güvenlik çözümlerine dayanıyor. İş mantığı kötüye kullanımı, saldırgan çalışmasını, iş akışı süreçlerini manipüle etmek ve/veya yetkisiz erişim kazanmak için işlevselliğini altüst etmelerini sağlayacak zayıflıklar ve duyarlılıklar için işin API’lerini görüyor.
Bu saldırıların ortaya koyduğu tehdidin ve işletmelerin bunları tespit etmede ve herhangi bir teknolojiyi aştıkları ve standart taksonomilere uymadıkları gerçeğini kabul eden OWASP projesi, bu yılın başlarında sorunları haritalamaya adanmış bir çalışma partisi kurdu. İlk iş mantığı istismarını yeni yayınladı Top 10 Bu, süreçlerin gerçek dünya örneklerine dayanarak istismar edilmektir ve bunları frekans, darbe ve sömürülebilirliğe göre sıraladığını vurgulamaktadır.
Liste, geliştiricilerin kötü niyetli amaçlara ulaşmak için işlevlere nasıl erişilebileceğini, değiştirilebileceğini veya birleştirilebileceğini ve bu işlevleri devre dışı bırakmanın önemini nasıl tahmin edemeyeceğini ortaya koyuyor. Örneğin, listenin tepesinde, bir işlemde oluşturulan geçici eserler yani oturumlar, jetonlar ve alt akışlar, üst işlem tamamlandıktan sonra iptal edilemediğinde ortaya çıkabilecek yaşam döngüsü ve yetim geçiş kusurları (BLA1: 2025). Bu eserler ısrar etmeye devam ettikçe, çağrılabilir kalırlar ve bir saldırgan tarafından saldırganın önceki akışlara girmesini sağlayan OWASP projesine göre “adımları tekrarlamak, kapalı süreçleri diriltmek veya yozlaşmış sistem durumunu yeniden canlandırmak” için kullanılabilir.
İş mantığı atakları, tekrar isteklerle bir hizmeti en üst düzeye çıkarmak için de kullanılabilir. Listede ikinci olan mantık bombası, döngüler ve durdurma sorunları (BLA2: 2025), API’lerin otomatikleştirdiği iş süreçlerinde bulunan dairesel akışlardır. Bunlar, API çağrılarının CPU ve belleği tüketebileceği veya hizmetin çökmesine neden olabileceği bir hizmet türü senaryosu oluşturmak için kullanılabilir. Milyar gülüyor IBM Sterling Gateway’e yönelik saldırı, bir saldırganın ağ geçidine kötü niyetli bir yük gönderebildiği ve işleri tekrar tekrar işlem yapmasına ve kaynakları tüketmesine neden olan bir örnek olarak belirtiliyor.
Bir başka iyi halka açık konu O2 ile ilgilidir. Bir araştırmacı, telekom operatörünün ağında, bir saldırganın bir kullanıcının konum verilerini ve IMSI ve IMEI verilerini görmesini sağlayabilecek bir kusur keşfetti. Şubat 2023’ten bu yana var olduğu ve Mayıs 2025’te çözüldüğü düşünülen sorun, Oracle maruziyeti (BLA5: 2025) ve eksik roller ve izin kontrolleri (BLA6: 2025), SIP başlıklarının çok fazla veri ortaya çıkarmasına neden oldu.
Bu örneklerin hepsi, çeşitli iş mantığı kötüye kullanımının ne kadar kolay olabileceğini ve bu güvenlik açıklarının fark edilmeyeceğini göstermeye hizmet eder. Birçoğu sadece keşfedilmeyi ve sömürülmeyi bekliyor, bu da kuruluşların API’larını güvence altına almak için harekete geçmelerini zorunlu kılıyor.
İş mantığı kötüye kullanımını durdurmak üretim aşamasında başlar. Kaydırma sol testi, mantığın yalnızca API’nın önceden tanımlanmış bir şekilde kullanılmasını sağlayarak bu saldırıların potansiyelini azaltmaya yardımcı olacaktır, böylece olumsuz bir etkisi olabilecek eylemler gerçekleştiremez. Bununla birlikte, en iyi kimlik doğrulama ile tasarlanmış API’ler bile ve sorunsuz ve beklendiği gibi işlev gören kontroller de altüst edilebilir. Bu nedenle API’lerin prodüksiyon öncesi ve sonrası test edilmesi artık yeterli değildir.
Etkili bot yönetimi, API’lerin otomatik kötüye kullanımını azaltmada ve güvenli bir öngörülebilir davranışın sürdürülmesinde hayati önem taşır. Tüm trafiği bir API’ya izleyerek ve bu davranışta anormallikler arayarak bu saldırıları tespit etmek mümkün olur. Tespitin dört sütunu kullanma – araçlar, altyapı, kimlik bilgileri ve davranış – işletme daha sonra iş mantığı kötüye kullanımını olduğu gibi doğru bir şekilde tanımlayabilir ve İngiltere konukseverlik sağlayıcısında gösterildiği gibi bu saldırıları doğal olarak önleyebilir.
Geleceğe baktığımızda, saldırganların API’lere saldırmak için iş mantığı güvenlik açıklarından yararlanmaya devam etme olasılığıdır. Ve bu sorunları keşfetmek ve kötü niyetli amaçlar için nasıl kullanılabileceklerini keşfetmek için kullanılırsa iyi büyüyebilecek bir saldırı vektörüdür. Elbette, her zaman güvenlik açıkları olacaktır, ancak işletme nasıl ve ne arayacağını biliyorsa sömürülmelerini önlemek mümkündür.
