科里·鲍尔(Corey Ball)是网络安全咨询经理,也是即将出版的书籍的作者黑客API(工作标题 - 无淀粉出版社)。除了成为长期的API黑客攻击爱好者外,科里的角色还使他成为网络安全行业趋势的重要角色 - 使他能够看到更大的局面,涉及API Security之类的问题。这篇博客文章基于我们在2020年11月与科里的对话。
背景:API安全性状态
API已经存在很长时间了 - 这种成熟的基础设施对黑客来说越来越有趣。近年来,微服务的兴起导致API生态系统变得越来越复杂。这是结合了悠久的问题,例如损坏的对象级授权,,,,目录遍历,,,,SQL注入,并且被盗的证书导致了很多脆弱性。在2019年,Owasp甚至揭示了其前十名的版本,仅适用于API。
在2020年初星巴克授予了关键的漏洞赏金支出对于在其API系统中发现缺陷的研究人员来说。该错误可能会暴露出多达1亿客户的记录 - 有关研究人员将该错误描述为“众所周知,但研究不足”。同样,在2018年,USPS应用程序的问题允许任何有帐户的人查看,在某些情况下,修改了约6000万用户的详细信息。同样,API实施不佳是错误的。
“您可以设计一个您认为是超安全性的API,但是如果您不进行测试,那么某个地方的网络犯罪分子将为您做。”
API代表了大多数组织的巨大攻击表面。从角度来看,Okta最近引用了Gartner预测,到2022年,API滥用将是最常见的攻击向量,导致企业应用程序的数据泄露。此外,在2018年,Akamai发现API单独使用的是约83%的网络流量。beplay体育能用吗
在2020年11月,,,,打扫扫描仪获得了解析API定义以识别隐藏端点及其支持的方法和参数的能力。这允许通过JSON和YAML编写的定义增强API的增强扫描Burp Suite Enterprise Edition和Burp Suite专业人士。尽管此版本支持扫描相当有限的REST API,但我们将扩展此版本,以支持更多的API。
不要忽略您的API
科里认为,由于大多数API主要是由开发人员和机器使用/消耗的,因此他们在安全评估中经常被忽略。加剧了这个问题,许多组织将很难真正列出他们在系统上的所有API。
更糟糕的是,由于API如此多样,因此很难扫描。即使在一个组织中,相似的端点也可能彼此完全不同。Corey指出,许多脆弱性扫描仪缺乏正确测试API的功能,因此在检测API漏洞方面是不好的。如果你的API安全测试仅限于运行这些扫描仪之一,并且没有结果,因此您会承担接受虚假负面结果的风险。
您可以在新闻中看到结果。2018年USPS事件(上)之所以发生,是因为在API的设计中根本没有考虑安全性。研究人员能够使用微不足道的方法妥协,尽管脆弱性评估事先进行了一个月。评估未能发现明显的问题。
beplay官网可以赌PortSwigger的视图:漏洞扫描最佳用作平衡安全程序的一部分。尽管一些网络脆弱性扫描beplay体育能用吗仪与API斗争,但Burp Scanner解析API定义的新能力意味着其在该领域的能力越来越强。
但是现在不是API标准化了吗?它们不应该通过设计安全吗?
我们正在进步。您已经有了从Swagger到OpenAPI的开关之类的东西,这意味着API越来越标准化。这通常是一件好事 - 当然,这使得测试的某些方面更容易。但是,仅仅因为某些东西被标准化并不意味着它已经正确实施了 - 这就是组织经常发现自己的情况。
当您实施API时,仍然有很多陷阱。定义是否包含了所有内容?有更新吗?也许您遇到了某种资产管理问题,而以前的版本仍然可用?这些是您必须考虑的各种事情。
如果您可以向希望确保其API的组织提供一条建议,那将是什么?
当我们向科里提出这个问题时,他笑了。毕竟,API安全是一个巨大的主题。但是,考虑到这一点,科里的脸挺直。他的回答?“入侵他们”。“您可以设计一个您认为是超安全性的API,但是如果您不进行测试,那么某个地方的网络犯罪分子将为您做。”
扫描您的API以了解漏洞是一个很好的开始,但仅此而已。API是认真生意的地方逻辑漏洞可以轻松实现 - 扫描仪通常会很难找到这些。您总是需要随附的横向思维和对抗性心态渗透测试为了真正对您的安全有信心。
常见API业务逻辑漏洞的一些例子是什么?
您可以将业务逻辑漏洞定义为“故意设计的应用功能,可用于损害其安全性”。以有关应用程序功能的高级计划讨论为例。一般而言,该对话可能涉及用户便利性,然后才能进行安全性。
科里从他作为网络安全顾问的经验中给出了一个很好的例子。他与之合作的一家业务希望使应用管理员能够轻松搜索任何应用程序用户的帐户信息。但是所讨论的业务没有考虑确保此功能 - 而是相信普通用户根本不会发现或使用其功能。
所有这一切的主要收获是,如果您要具有真正有效的网络安全,那么关于安全的对话确实需要在战略层面上进行。网络安全专业人员需要从计划阶段就可以在桌子上坐下,以便可以设计有效的安全性。
有关更多信息逻辑缺陷,查看beplay体育能用吗网络安全学院关于业务逻辑漏洞。
beplay官网可以赌Portswigger关于API安全的观点
像其他任何方面beplay体育能用吗Web应用程序安全,有效地保护您的API需要一种整体方法。这应该涉及从脆弱性扫描到手动的所有内容五边形- 重要的是要从设计阶段内置一定程度的对抗性思维。
Burp Scanner在Burp Suite Enterprise Edition和Burp Suite Professional中都包含Burp Scanner的新能力解析API定义。使用它来获得对API攻击表面的可见性,并为penter悔者腾出时间 - 使他们能够使用其测试技能更大的效果。当然,Burp Suite Professional包括一系列工具,测试人员将发现这些工具可用于手动测试API安全性,并通过该工具来访问专业扩展Bapp商店。
为了进一步教育自己有关API安全的信息,请留意Corey即将出版的书籍黑客API(工作标题 - 无淀粉出版社)。您还可以在此处了解有关特定Web安全漏洞的更多信息beplay体育能用吗beplay体育能用吗网络安全学院。
