Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Dec 22, 2023
Evitando o Apocalipse: um guia para encontrar APIs zumbis
Home » Rede de blogueiros de segurança » Evitando o apocalipse: um guia para encontrar
Página inicial » Rede de blogueiros de segurança » Evitando o apocalipse: um guia para encontrar APIs zumbis
Considere esta estatística de um relatório recente da Noname Security. Mais do que87% de seus entrevistados estão preocupados com os riscos de segurança de APIs desatualizadas ou desnecessárias. No mundo do hacking de API, chamamos essesAPIs zumbis.
Você conhece o tipo de terminal de API de que estou falando. São essas APIs esquecidas que não estão mais sendo mantidas, mas ainda existem para "compatibilidade com versões anteriores". Essas APIs podem ficar desatualizadas, não confiáveis e vulneráveis a hackers. Um risco de segurança potencial para qualquer aplicativo que os utilize.
É uma classe tão importante de vulnerabilidade. Ele pousa como#9na lista 2023 OWASP API Security Top 10 como API9:2023 Improper Inventory Management.
Vamos falar sobre isso antes que o código ruim o apague e se junte aos mortos-vivos. (gemido ... sim, isso é uma piada de zumbi muito ruim)
Encontrar APIs zumbis é crucial para nós, pois essas APIs negligenciadas podem ser uma mina de ouro de vulnerabilidades e brechas de segurança. Podemos explorar essas vulnerabilidades para obter acesso não autorizado aos dados, contornar os controles de segurança adicionados a versões posteriores e até mesmo comprometer sistemas inteiros quando o patch contínuo não está sendo mantido.
As APIs tendem a ficar mais frágeis com o tempo. É por isso que as práticas recomendadas de segurança da API sempre falam sobre a desativação e a desativação de versões mais antigas.
Mas as equipes de segurança que gerenciam riscos nem sempre estão cientes das APIs expostas, graças à expansão das APIs. E quando mais de um terço (35%) das organizações lançam atualizações para suas APIs diariamente, e mais40%faça isso semanalmente, do ponto de vista da segurança, fica muito mais difícil acompanhar todo o tráfego da API.
Aqui está outra descoberta importante na pesquisa da Noname Security. Com a migração de aplicativos existentes para a nuvem e a adoção de serviços baseados em SaaS que agregam novo valor comercial, nos próximos dois anos, espera-se que mais de 50% das organizações pesquisadas tenham APIs ativas implantadas em todos os seus aplicativos.
Combinada com as arquiteturas de aplicativos API-first que estão se tornando mais predominantes para os desenvolvedores atualmente, a produção rápida de APIs sem dúvida levará a uma maior expansão de APIs e ao risco de APIs mais vulneráveis.
Embora uma estrita estratégia de governança de API possa ajudar a mitigar esse risco, a realidade é que é difícil gerenciar a proliferação de APIs quando a equipe de aplicativos está consumindo APIs de terceiros e, ao mesmo tempo, também conecta dados a sistemas internos e externos que as equipes de segurança podem não ter. visibilidade para.
Se você deseja identificar APIs zumbis dentro de uma organização, há várias etapas que você pode seguir.
A primeira etapa envolve a criação de um inventário de todas as APIs usadas na organização de destino. Isso inclui APIs internas e externas. Isso ajudará você a entender o escopo do uso da API e a identificar possíveis zumbis que possam existir. As ferramentas de descoberta de API podem ajudar aqui durante o reconhecimento.
Depois de ter um inventário das APIs, você pode começar a analisar seu uso. Isso envolve observar o número de solicitações feitas para cada API, quem está fazendo as solicitações e como essas APIs estão sendo usadas. Isso pode ajudá-lo a identificar APIs que não estão mais sendo usadas ou estão sendo usadas apenas por sistemas legados. Isso é muito mais difícil de fazer se você estiver limitado a testes de caixa preta. No entanto, se você puder obter acesso aos dados de tráfego do gateway de API, geralmente poderá analisá-los.
É importante verificar se as APIs de destino têm controle de versão. O controle de versão permite suporte para compatibilidade com versões mais antigas do ponto de extremidade da API. Isso também significa que as versões mais antigas podem não ser mais mantidas e podem estar vulneráveis. Verifique metadados como caminho de URL, cookies, declarações em tokens de acesso, cabeçalhos HTTP personalizados e parâmetros de solicitação HTTP para artefatos de controle de versão óbvios. Se você encontrar versões desatualizadas de uma API, considere primeiro as ameaças de ataque.
As APIs geralmente são negligenciadas e não são mantidas. Sinais de negligência incluem documentação desatualizada, falta de atualizações e nenhum suporte ou informações de contato. Se você encontrar APIs com esses sinais, elas podem ser zumbis. Preste atenção especial aos metadados que podem expor estruturas e serviços mais antigos. Não é incomum encontrar uma versão antiga da API em execução em imagens de contêiner muito antigas que podem estar vulneráveis.