אינהאַלט באַהאַלטן
1 262-000177-001 OWASP טאָפּ 10 פֿאַר API זיכערהייט
2 פּראָדוקט אינפֿאָרמאַציע
2.1 ספּעסאַפאַקיישאַנז
2.2 פּראָדוקט באַניץ אינסטרוקציעס
2.2.1 הקדמה צו API זיכערהייט
2.2.2 API זיכערהייט שווינדל בלאַט
2.2.3 דעוועלאָפּער גייד איבערview
2.3 אָפט געשטעלטע פֿראגן (FAQ)
2.3.1 פ: פארוואס איז API זיכערהייט וויכטיג?
2.3.2 פ: ווי קען איך אימפלעמענטירן זיכערע APIs?
2.3.3 דאָקומענטן / רעסאָורסעס
2.3.3.1 רעפערענצן

262-000177-001 OWASP טאָפּ 10 פֿאַר API זיכערהייט

"

פּראָדוקט אינפֿאָרמאַציע

ספּעסאַפאַקיישאַנז

  • פּראָדוקט נאָמען: דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API
    זיכערהייַט
  • אינהאַלט: API זיכערהייט טשיץ בלאַט, דעפֿיניציעס, און דעטאַלירטע
    גיידס פאר די 2023 OWASP Top 10 פאר API זיכערהייט

פּראָדוקט באַניץ אינסטרוקציעס

הקדמה צו API זיכערהייט

די דעוועלאָפּער גייד גיט קאָמפּרעהענסיוו אינפֿאָרמאַציע וועגן די
2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט, אונטערשטרייַכנדיק געמיינזאַמע זיכערהייט
ריזיקעס ווען מען אַנטוויקלט אַפּליקאַציעס מיט APIs.

API זיכערהייט שווינדל בלאַט

די טשייט שיט ליסט די פאלגענדע קאטעגאריעס פון API זיכערהייט
ריזיקירן:

  1. צעבראכענע אביעקט לעוועל אויטאריזאציע
  2. צעבראָכענע אויטענטיפֿיקאַציע
  3. צעבראכענע אביעקט אייגנשאפט לעוועל אויטאריזאציע
  4. אומבאַגרענעצטער רעסורסן קאָנסומאַציע
  5. צעבראָכענע פונקציע לעוועל אויטאָריזאַציע
  6. אומבאַגרענעצטער צוטריט צו סענסיטיווע געשעפט פלוסן
  7. סערווער זייט פארלאנג פאלשעריי
  8. זיכערהייט מיסקאָנפֿיגוראַציע
  9. אומרעכטע אינווענטאר פאַרוואַלטונג
  10. אומזיכערע קאנסומאציע פון ​​APIs

דעוועלאָפּער גייד איבערview

דער גייד גייט אריין אין יעדער API זיכערהייט ריזיקע קאטעגאריע, צושטעלנדיג
דעטאַלירטע דערקלערונגען און אנווייזונגען ווי אזוי צו אַדרעסירן און פֿאַרמינדערן
די ריזיקעס עפֿעקטיוו.

אָפט געשטעלטע פֿראגן (FAQ)

פ: פארוואס איז API זיכערהייט וויכטיג?

א: API זיכערהייט איז קריטיש ווייל APIs אָפט אַנטפּלעקן סענסיטיווע דאַטן
און אַפּליקאַציע לאָגיק, מאַכנדיג זיי הויפּט צילן פֿאַר אַטאַקערס.
זיכערן APIs איז וויכטיג צו פאַרהיטן דאַטן בריטשיז און
זיכער מאַכן די אַלגעמיינע זיכערהייט פון דעם סיסטעם.

פ: ווי קען איך אימפלעמענטירן זיכערע APIs?

א: צו אימפלעמענטירן זיכערע APIs, פאלגט די בעסטע פראקטיקעס ווי
געהעריקע אויטענטיפיקאציע, אויטאריזאציע מעכאניזמען, אינפוט וואַלידאַציע,
ענקריפּשאַן פון סענסיטיווע דאַטן, און רעגולערע זיכערהייט אַסעסמאַנץ און
דערהייַנטיקונגען.

"`

View Fullscreen

ווייַס פּאַפּיר
דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

אינהאַלט

API זיכערהייט שווינדל בלאַט

5

דעפֿיניציעס

5

API1:2023–צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע

7

API2:2023–צעבראָכענע אויטענטיפֿיקאַציע

8

API3:2023–צעבראָכענע אָביעקט פּראָפּערטי לעוועל אויטאָריזאַציע

9

API4:2023 – אומבאגרענעצטע רעסורסן קאנסומאציע

11

API5:2023–צעבראָכענע פֿונקציע לעוועל אויטאָריזאַציע

13

API6:2023 – אומבאַגרענעצטער צוטריט צו סענסיטיווע געשעפט־פלוסן

14

API7:2023–סערווער זייט פארלאנג פאלשעריי

16

API8:2023–זיכערהייט מיסקאָנפֿיגוראַציע

18

API9:2023 – אומרעכטע אינווענטאר פאַרוואַלטונג

19

API10:2023–נישט זיכערע קאָנסומאַציע פֿון APIs

21

די API זיכערהייט טאָפּ-10 איז נישט גענוג!

23

מסקנא

23

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

2/23

ווי קאָמפּאַניעס האָבן אנגענומען וואָלקן-געבוירענע אינפראַסטרוקטור און דעוואָפּ-סטיל מעטאָדאָלאָגיעס, web אַפּליקאַציע פּראָגראַממינג אינטערפייסיז, אדער APIs, האָבן זיך פאַרשפּרייט. עטלעכע פון ​​די מערסט פּאָפּולערע עפנטלעכע APIs אַרייַננעמען די וואָס לאָזן דעוועלאָפּערס צו אַקסעס גוגל זוכן, קראַצן דאַטן פון TikTok, טראַקן וועהיקלעס, זאַמלען ספּאָרט סקאָרז, און זאַמלען דאַטן אויף בילד דאַונלאָודז פון פּאָפּולערע זייטלעך.1 אין 2023, API-פֿאַרבונדענע טראַפיק אַקאַונץ פֿאַר 58 פּראָצענט פון אַלע דינאַמיש - דעפינירט ווי ניט-קעשאַבאַל - טראַפיק, אַרויף פון 54 פּראָצענט אין די סוף פון 2021.2
APIs זענען געוואָרן דער וועג פֿאַר ענטערפּרייז אַפּליקאַציעס צו קאָמוניקירן און אינטעגרירן מיט יעדער אַנדערער. פֿירמעס נוצן אַרום צוויי דריטל פֿון זייערע APIs (64%) צו פֿאַרבינדן זייערע אַפּליקאַציעס צו פּאַרטנערס, בשעת אַרום האַלב (51%) זענען אַקסעס פּונקטן צו מיקראָסערוויסעס. אין גאַנצן, מער ווי דריי פֿערטל פֿון פֿירמעס נוצן אַ דורכשניט פֿון לפּחות 25 APIs פּער אַפּליקאַציע.3
די אדאפטאציע פון ​​API-באזירטע אפליקאציע אינפראסטרוקטור זאל נישט קומען ווי קיין איבערראשונג: פירמעס וואס אדאפטירן APIs צו צוציען דריט-פארטיי דעוועלאפערס און שאפן עקא-סיסטעמען זעהן פארגרעסערטן וואוקס. די "אינווערטירטע פירמעס" – אזוי גערופן ווייל זיי דרייען איבער די טראדיציאנעלע קאנצעפטן פון שאפן שטערונגען ארום טעכנאלאגיעס און ערלויבן אפענע צוטריט צו געוויסע מעגלעכקייטן און דאטן – זענען געוואקסן מיט כמעט 13 פראצענט איבער צוויי יאר, און 39 פראצענט איבער 16 יאר, קאמפערד צו פירמעס וואס האבן נישט אדאפטירט APIs, לויט א 2022 פאפיר דורך פארשער אין טשעפמאן אוניווערסיטעט און באסטאן אוניווערסיטעט.4
אבער, מיטן אדאפטירן מיקראסערוויסעס, קאנטעינעריזאציע, און APIs, קומט א פארשיידנקייט פון ריזיקעס, ווי למשל נישט-זיכערע ווייכווארג קאמפאנענטן, שוואכע ביזנעס לאגיק, און פעלערהאפטע דאטן זיכערהייט. ניין פון צען ארגאניזאציעס (92%) האבן געליטן לפחות איין זיכערהייט אינצידענט פארבונדן מיט נישט-זיכערע APIs.5 גרויסע פירמעס האבן טיפיש טויזנטער APIs און אטאקעס אויף יענע סיסטעמען זענען פאראנטווארטלעך פאר בערך 20 פראצענט פון זיכערהייט אינצידענטן, בשעת קלענערע פירמעס האבן הונדערטער APIs וועמענס קלענערע אטאקע אויבערפלאך איז פאראנטווארטלעך פאר פינף פראצענט פון זיכערהייט אינצידענטן.6 יערליכע פארלוסטן צוליב בריטשעס געפארכט דורך API שוואכקייטן איבערשטייגן $40 ביליאן גלאבאל, לויט אן אפשאצונג פון מארש מקלענען.7
1 אַרעלאַנאָ, קעלי. די 50 מערסט פּאָפּולערע APIs. RapidAPI בלאָג. RapidAPI. Web בלאַט. 16 מערץ 2023.
2 טרעמאַנטע, מיכאל, און אנדערע. אַפּליקאַציע זיכערהייט באַריכט: Q2 2023. קלאָודפֿלעיר בלאָג. קלאָודפֿלעיר. בלאָג פּאָסטן. 21 אויגוסט 2023.
3 מאַרקס, מעלינדאַ. זיכער מאַכן די API אַטאַק ייבערפלאַך. ענטערפּרייז סטראַטעגיע גרופּע. ספּאָנסאָרעד דורך פּאַלאָ אַלטאָ נעטוואָרקס. PDF באַריכט, ז. 10. 23 מאי 2023.
4 בענזעל, סעט ג., און אנדערע. ווי אזוי APIs שאפן וואוקס דורך איבערקערן די פירמע. סאציאל וויסנשאפט פארשונג נעטווארק. פארשונג פאפיר. איבערגעקוקט: 30 דעצעמבער 2022.
5 זיכערן די API אטאקע אויבערפלאך. ענטערפרייז סטראטעגיע גרופע, ז. 14. 6 לעמאָס, ראבערט. API זיכערהייט פארלוסטן גאַנץ ביליאָנען, אָבער עס איז קאָמפּליצירט. טונקל לייענען.
נייעס ארטיקל. 30 יוני 2022. 7 מארש מקלענען. קוואַנטיפיצירן די קאָסטן פון API אומזיכערהייט. ספּאָנסאָרירט דורך אימפּערוואַ.
פּי-די-עף באַריכט. 22סטן יוני 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

3/23

די 2023 API זיכערהייט טאָפּ-10 ליסטע אונטערשטרייכט די צען מערסט פּראָסטע און ערנסטע זיכערהייט ריזיקעס וואָס ווערן באשאפן ווען מען אַנטוויקלט אַפּליקאַציעס וואָס עקספּאָוזן אָדער נוצן APIs.

די פראבלעם איז אזוי ערנסט אז די אמעריקאנער נאציאנאלע זיכערהייט אגענטור האט זיך צוזאמענגעשטעלט מיטן אויסטראלישן סייבער זיכערהייט צענטער (ACSC) און די אמעריקאנער סייבער זיכערהייט און אינפראסטרוקטור זיכערהייט אגענטור (CISA) צו געבן אנווייזונגען וועגן API זיכערהייט פראבלעמען, ספעציעל די מערסטע פארשפרייטע, באקאנט אלס אינזיכערע דירעקטע אביעקט רעפערענץ (IDOR) שוואכקייטן.8
נישט קיין איבערראשונג, קעגן דעם הינטערגרונט פון וואקסנדיקע זיכערהייט זארגן, האט די Open Worldwide Application Security Project (OWASP) ארויסגעגעבן אן אפדעיט צו זיין API Security Top-10 ליסטע. דערפרישנדיק זיין ערשטע 2019 ליסטע, די 2023 API Security Top-10 ליסטע אונטערשטרייכט די צען מערסט פארשפרייטע און ערנסטע זיכערהייט ריזיקעס וואס ווערן באשאפן ווען מען אנטוויקלט אפליקאציעס וואס אויסשטעלן אדער ניצן APIs. פראבלעמען ווי Broken Object-Level Authorization, א סופערסעט וואס שליסט איין IDOR שוואכקייטן, בלייבט די זעלבע פון ​​די פריערדיגע ליסטע. אבער, נייע קאטעגאריעס – אדער רעארגאניזירטע קאטעגאריעס – אונטערשטרייכן יעצט פראבלעמען וואס זענען איבערגעקוקט געווארן אין דער פארגאנגענהייט, ווי Server-Side Request Forgery (API7:2023) און Unrestricted Access to Sensitive Business Flows (API6:2023).
"לויט נאטור, שטעלן APIs ארויס אפליקאציע לאגיק און סענסיטיווע דאטן ווי פערזענליך אידענטיפיצירבארע אינפארמאציע (PII) און צוליב דעם זענען APIs מער און מער געווארן א ציל פאר אנפאלער," האט די OWASP גרופע געזאגט אין איר מעלדונג.9 "אָן זיכערע APIs, וואלט שנעלע אינוואציע געווען אוממעגלעך."

8 נייע סייבער-זיכערהייט עצה וואָרנט וועגן Web אַפּליקאַציע שוואַכקייטן. נאַציאָנאַלע זיכערהייט אַגענטור. פּרעסע מעלדונג. 27 יולי 2023.
9 אפֿן וועלטװײַט אַפּליקאַציע זיכערהײַט פּראָיעקט. OWASP API זיכערהײַט טאָפּ 10: פֿאָרװערטס. OWASP.org. Web בלאַט. 3 יולי 2023.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

4/23

API זיכערהייט שווינדל בלאַט

OWASP טאָפּ 10 קאַטעגאָריע 1. צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע 2. צעבראָכענע אויטענטיקאַציע 3. צעבראָכענע אָביעקט פּראָפּערטי לעוועל אויטאָריזאַציע 4. אומבאַגרענעצטער רעסורס קאַנסאַמשאַן 5. צעבראָכענע פונקציע לעוועל אויטאָריזאַציע 6. אומבאַגרענעצטער אַקסעס צו סענסיטיווע געשעפט פלאָוז 7. סערווער זייַט בעטן פאָרדזשערי 8. זיכערהייט מיסקאָנפֿיגוראַציע 9. אומרעכטע אינווענטאַר פאַרוואַלטונג 10. אומזיכער קאַנסאַמשאַן פון APIs

סייבערסעקוריטי לייזונג SAST SAST, DAST SAST, DAST SAST, DAST, Secure API Manager SAST DAST DAST SAST, DAST Secure API Manager SCA, SAST

דעפֿיניציעס
API ענדפּוינט – דער פּונקט פון קאָמוניקאַציע צווישן צוויי סיסטעמען, טיפּיש אַ URL פון אַ קאַנטעינער אָדער סערווער וואָס לויפט אַ מיקראָסערוויס. ניצן אַ URL, קען אַן אַפּליקאַציע אָדער דעוועלאָפּער בעטן אינפֿאָרמאַציע פֿונעם סערווער אָדער אויספֿירן אַן אַקציע אויף דעם API סערווער אָדער מיקראָסערוויס.
API-פֿאַרבונדענע טראַפֿיק – אינטערנעט טראַפֿיק וואָס באַשטייט פֿון אַן HTTP אָדער HTTPS בקשה און האָט אַן ענטפֿער אינהאַלט פֿון XML אָדער JSON, וואָס ווײַזט אָן אַז דאַטן ווערן איבערגעגעבן צו אַן אַפּליקאַציע, געוויינטלעך דורך SOAP, WSDL, אַ REST API, אָדער gRPC (זע אונטן).
דינאמישע אַפּליקאַציע זיכערהייט טעסטינג (DAST) – דער פּראָצעס פון אַנאַליזירן אַן אַפּליקאַציע אָדער API סערווער דורך ניצן די צובינד, צי די באַניצער צובינד פֿאַר אַן אַפּליקאַציע, אַ web פראָנט־ענד פֿאַר אַ web אַפּליקאַציע, אָדער URLס פֿאַר API ענדפּונקטן. ביי טיפּ פון שוואַרצע-קעסטל טעסטינג, עוואַלויִרט דעם צוגאַנג אַן אַפּלאַקיישאַן פֿון "דרויסן און אַרײַן" דורך אַטאַקירן אַן אַפּלאַקיישאַן אויף דעם זעלבן וועג ווי אַן אַטאַקירער, געוויינטלעך אָן וויסן וועגן אינערלעכע פּראָצעסן.
סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג (SAST) – אַן צוגאַנג צו אַפּליקאַציע זיכערהייט וואָס סקענט דעם מקור, ביינערי אָדער בייט קאָד פֿאַר דערקענטע מוסטערן פון ערראָרס אָדער וואַלנעראַביליטיז. מאל ריפערד צו ווי ווייסע-קעסטל טעסטינג, ניצט SAST אַן "אינעווייניק-אויס" צוגאַנג וואָס ידענטיפיצירט פּאָטענציעלע וואַלנעראַביליטיז און ערראָרס וואָס קען, אָדער קען נישט, זיין עקספּלויטאַבאַל דורך אַן עקסטערנאַל אַטאַקער. לייכטע סטאַטישע מכשירים קענען צושטעלן רעאַל-צייט באַמערקונגען צו דעוועלאָפּערס אין זייער IDE.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

5/23

צעבראכענע אביעקט לעוועל אויטאריזאציע איז א פארשפרייטע און גרינג אויסצוניצן פראבלעם אין web אַפּליקאַציעס ווייל API רופן טראָגן שטאַט אינפֿאָרמאַציע. אַפּליקאַציעס זענען שוואַך אויב זיי לאָזן אַ באַניצער צו נעמען אַקשאַנז דורך ספּעציפֿיצירן אַן אידענטיפֿיקאַטאָר אין אַן API אָן קאָנטראָלירן צי זיי האָבן דערלויבעניש צו נעמען די אַקשאַנז.

SOAP/WSDL – אן XML-באזירט פראטאקאל פארן שאפן Web APIs. SOAP איז דער פּראָטאָקאָל אַליין און WSDL (Web סערוויס דעפיניציע שפראך) איז דער פֿאָרמאַט וואָס ווערט גענוצט צו פֿאָרמעל באַשרײַבן סערוויסעס. צוליב דעם שווערן איבערהעאַד, איז דער API סטיל געוואָרן אומפּאָפּולער פֿאַר נײַע אַנטוויקלונגען.
רוה–א Web API סטיל וואָס באַשטייט פון אויסטוישן מעסעדזשעס גלייך איבער HTTP, ניצנדיק די סעמאַנטיק פון HTTP URLס און ווערבס, אָן ניצן אַן נאָך "קאָנווערט". דער אינהאַלט איז געוויינטלעך ענקאָדירט ווי JSON, כאָטש אין עטלעכע פאַלן איז עס XML.
GraphQL – א קווערי שפראך וואס איז געמאכט צו ווערן גענוצט אין APIs (מיט פארלאנגען און ענטפערס אין JSON), צוזאמען מיט סערווער-זייט ראנטיים צו אויספירן די קווערי. עס ערלויבט קליענטן צו דעפינירן די סטרוקטור פון דאטן וואס זיי דארפן און דאן באקומען דאס פון דעם סערווער אין יענעם פארמאט.
gRPC – אן API פּראָטאָקאָל וואָס איז העכער פאָרשטעלונג ווי REST. עס ניצט HTTP/2 און די פאָרשטעלונג אַדוואַנטאַגעtagעס וואָס אָפפערט איבער HTTP/1.1. דער פֿאָרמאַט פֿון די יחידישע מעסעדזשעס איז געוויינטלעך בינאַרי און באַזירט אויף פּראָטאָבוף, וואָס שאַפֿט ווידער אַ פֿאָרטייל אין פאָרשטעלונג.tagעס איבער REST און SOAP.

2023 API זיכערהייט טאָפּ 10

אנאַלאָגישע 2019 API זיכערהייט איינטראַג

API1:2023–צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע

API1:2019–צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע

API2:2023–צעבראָכענע אויטענטיפֿיקאַציע

API2:2019–צעבראָכענע באַניצער אויטענטיפֿיקאַציע

API3:2023–צעבראָכענע אָביעקט פּראָפּערטי לעוועל אויטאָריזאַציע

API3:2019–איבעריגע דאַטן עקספּאָוזשער, API6:2019–מאַסע אַסיינמאַנט

API4:2023 – אומבאגרענעצטע רעסורסן קאנסומאציע

API4:2019–מאַנגל אין רעסורסן און ראַטע לימיטאַציע

API5:2023–צעבראָכענע פֿונקציע לעוועל אויטאָריזאַציע

API5:2019–צעבראָכענע פֿונקציע לעוועל אויטאָריזאַציע

API6:2023 – אומבאַגרענעצטער צוטריט צו סענסיטיווע געשעפט־פלוסן

API7:2023–סערווער זייט פארלאנג פאלשעריי

API8:2023–זיכערהייט מיסקאָנפֿיגוראַציע API7:2019–זיכערהייט מיסקאָנפֿיגוראַציע

API9:2023 – אומרעכטע אינווענטאר פאַרוואַלטונג

API9:2019–נישט ריכטיקע פארמעגן פאַרוואַלטונג

API10:2023–נישט זיכערע קאָנסומאַציע פֿון APIs

API8:2019–אינדזשעקציע, API10:2019–נישט גענוג לאָגינג און מאָניטאָרינג

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

6/23

דעוועלאָפּערס און אַפּליקאַציע-זיכערהייט טימז מוזן אויך ריכטיק ימפּלעמענטירן מעגלעכקייטן צו קאָנטראָלירן באַניצער אידענטיטעט דורך אָטענטאַקיישאַן.

API1:2023–צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע
וואָס איז עס?
APIs ערלויבן צוטריט צו סערוויסעס און דאטן ניצנדיק סטאַנדאַרדיזירטע web פארלאנגען. פירמעס שטעלן אויס זייערע אינפראַסטרוקטור און דאַטן צו אומזיכערן דירעקטן צוטריט ווען יענע אַסעץ זענען נישט גוט פּראָטעקטעד אָדער ווען די אויטאָריזאַציע קאָנטראָלס זענען שלעכט ימפּלעמענטירט אָדער ניטאָ. צעבראָכענע אָביעקט לעוועל אויטאָריזאַציע – אויך גערופן אומזיכער דירעקט אָביעקט רעפערענץ (IDOR) – קען פירן צו אַ פאַרשיידנקייט פון ריסקס, פון דאַטן אַנטפּלעקונג ביז פולשטענדיק חשבון איבערנעמען.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
דאָס איז אַ ברייט פֿאַרשפּרייטע און גרינג אויסצוניצן פּראָבלעם אין web אַפּליקאַציעס. אַפּליקאַציעס זענען שוואַך אויב זיי לאָזן אַ באַניצער צו נעמען אַקציעס דורך ספּעציפֿיצירן אַן אידענטיפֿיקאַטאָר אין אַן API אָן קאָנטראָלירן צי זיי האָבן דערלויבעניש צו נעמען די אַקציעס.
אין אַן עקסampדעטאַלירט דורך OWASP, אַ פּלאַטפאָרמע פֿאַר אָנליין סטאָרז קען דערלויבן אַקסעס צו קראָם דאַטן מיט אַ פּשוט רוף:
/קראָמען/{קראָם נאָמען}/רעוועניו _ דאַטן.דזשאָן
דאָס איז נישט זיכער ווײַל יעדער באַניצער קען פֿאַרבײַטן דעם shopName מיטן נאָמען פֿון אַן אַנדער באַניצערס קראָם, און באַקומען צוטריט צו דאַטן וואָס זיי זאָלן נישט האָבן.
אַטאַק עקסamples
אין 2021, האט א זיכערהייטס-פארשער געפונען אז די webאַפּליקאַציע און באַק-ענד סערווערס וואָס האָבן צוגעשטעלט דאַטן צו פּעלאָטאָן עקסערסייז בייקס האָבן געהאַט עטלעכע API ענדפּונקטן וואָס האָבן דערלויבט נישט-אויטענטיפיצירטע באַניצער צו צוטריט פּריוואַטע דאַטן. אין פעברואַר 2021, האָט פּעלאָטאָן ימפּלעמענטירט אַ טיילווייזע פאַרריכטן פֿאַר דעם פּראָבלעם, באַגרענעצט API צוטריט צו אויטענטיפיצירטע באַניצער, אָבער נאָך דערלויבט די באַניצער צו צוטריט פּריוואַטע דאַטן פֿאַר אַנדערע מיטגלידער. אַ פולשטענדיקע פאַרריכטן איז געקומען אין מאי 2021.10
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
דעוועלאָפּערס פאַרהיטן נישט-זיכערן צוטריט צו אָביעקטן דורך דורכפירן שטרענגע קאָנטראָלן, צוטיילן נישט-פאָרזעענע באַניצער אידענטיפיצירער צו אָפּהאַלטן די אויסרעכענונג פון אַקאַונטס, און קאָנטראָלירן אָביעקט-לעוועל אויטאָריזאַציע פֿאַר יעדער פונקציע וואָס אַקסעסט אַ דאַטן מקור. דעוועלאָפּערס זאָלן איינשליסן אַזעלכע טשעקס, ספּעציעל אויב באַזירט אויף באַניצער אינפֿאָרמאַציע, צו באַזייַטיקן די מעגלעכקייט אַז אומפֿאָרזיכטיקע ערראָרס קענען אונטערמינירן זיכערהייט. אַפּליקאַציע-זיכערהייט און אָפּעראַציעס פּראָפעסיאָנאַלן זאָלן פאָדערן אויטאָריזאַציע טשעקס פֿאַר יעדער בקשה צו באַקענד דאַטן.
ווי קען OpenText העלפֿן?
OpenTextTM סטאַטישע אַפּליקאַציע זיכערהייט טעסטן (SAST) און OpenTextTM דינאַמישע אַפּליקאַציע זיכערהייט טעסטן (DAST) קענען דעטעקטירן אַ ברייטע קייט פון שוואַכקייטן אין דער קאַטעגאָריע פון ​​נישט זיכערע דירעקטע אָביעקט רעפערענץ (IDOR). IDOR קען אַרייַננעמען שוואַכקייטן ווי דירעקטאָרי טראַווערסאַל, File אַרויפֿלאָדן, און File ארייננעמען. מער בכלל, IDOR נעמט אויך אריין קלאסן פון שוואכקייטן וואו אידענטיפיצירער
10 מאַסטערס, יאַנואַר. טור דע פּעלאָטאָן: אויסגעשטעלטע באַניצער דאַטן. פּען טעסט פּאַרטנערס בלאָג. פּען טעסט פּאַרטנערס. Web בלאַט. 5טן מײַ 2021.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

7/23

דעוועלאָפּערס און אַפּליקאַציע-זיכערהייט טימז מוזן אויך ריכטיק ימפּלעמענטירן מעגלעכקייטן צו קאָנטראָלירן באַניצער אידענטיטעט דורך אָטענטאַקיישאַן.

קען ווערן געענדערט דורך URL, גוף, אדער כעאַדער מאַניפּולאַציע. די סיסטעם וועט אַלערטירן דעוועלאָפּערס צו פאַלן וואו דער באַניצער קען גלייך אויסקלײַבן דעם ערשטיקן שליסל אין דער API בקשה פֿאַר אַ דאַטאַבייס אָדער סטאָרידזש קאַנטיינער, אַ פּראָבלעם וואָס פֿירט אָפֿט צו דעם קלאַס פֿון וואַלנעראַביליטיז. די סיסטעם וועט אויך וואָרענען ווען אַן ערוואַרטעטע אויטאָריזאַציע קאָנטראָל פֿעלט.
API2:2023–צעבראָכענע אויטענטיפֿיקאַציע
וואָס איז עס?
אויטאָריזאַציע קאָנטראָלן באַגרענעצן צוטריט צו דאַטן באַזירט אויף ספּעציפֿישע ראָלעס אָדער באַניצער, אָבער די באַגרענעצונגען זענען נישט גענוג צו באַשיצן סיסטעמען, דאַטן און סערוויסעס. דעוועלאָפּערס און אַפּליקאַציע-זיכערהייט טימז מוזן אויך ריכטיק ימפּלעמענטירן קייפּאַבילאַטיז צו קאָנטראָלירן באַניצער אידענטיטעט דורך אויטענטיפֿיקאַציע. טראָץ דעם קריטישן כאַראַקטער פון אויטענטיפֿיקאַציע, די קאָמפּאָנענטן זענען אָפט שלעכט ימפּלעמענטירט אָדער נישט ריכטיק געניצט - די וואָרצל סיבות פון צעבראָכענע באַניצער אויטענטיפֿיקאַציע. צעבראָכענע באַניצער אויטענטיפֿיקאַציע אַלאַוז אַטאַקערז די פיייקייט צו אָננעמען אנדערע באַניצער ס אידענטיטעטן צייטווייליק אָדער שטענדיק דורך יקספּלויטינג אַנזיכער אויטענטיפֿיקאַציע טאָקענס אָדער קאָמפּראָמיס ימפּלעמענטאַציע חסרונות.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
די געוויינטלעכע און גרינג-צו-אויסניצן פראבלעם פאסירט ווייל אויטענטיפיקאציע איז א קאמפליצירטער פראצעס וואס קען זיין פארwirrend און איז, לויט דעפיניציע, אויסגעשטעלט פארן פובליקום. אנטוויקלער-פעלער און אפליקאציע-מיסקאנפיגוראציעס קענען רעזולטירן אין א מאנגל אין נויטיגע קאנטראלן, וואס ערלויבט אנפאלער צו פארמיידן אויטענטיפיקאציע. אנטוויקלער וואס פארפעלן צו אימפלעמענטירן אויטענטיפיקאציע פאר א באשטימטן ענדפונקט אדער ערלויבן א שוואכן אויטענטיפיקאציע-מעכאניזם שטעלן אויס אפליקאציעס צו א פארשיידנקייט פון אטאקעס, ווי למשל קרעדענשעל סטאפינג, טאוקען רעפלעי, אדער פאסווארט סניפינג.
אַטאַק עקסamples
צווישן פעברואר און יוני 2023, האבן קרעדענשאַל סטאַפינג אטאקעס געצילט אויף די קליידער פארקויפער Hot Topic, וועלכער האט געמעלדט זיינע קאסטומערס אז אן אומבאקאנטע צאל אקאונטס זענען געווארן קאמפראמיטירט. די אטאקירער – ניצנדיק קרעדענשאַלז געזאמלט פון אומבאקאנטע קוועלער – האבן געקענט צוקומען צו סענסיטיווע פערזענליכע דאטן, ווי קאסטומערס נעמען, אימעיל אדרעסן, ארדער היסטאריעס, טעלעפאן נומערן, און חדשים און טעג פון געבורט.11
אין פעברואר 2022, האט א פאַלש קאָנפיגורירטע וואָלקן סטאָרידזש באַקעט איבערגעלאָזט 1 גיגאבייט פון סענסיטיווע דאַטן פון אימעיל פֿאַרקויף סערוויס Beetle Eye אָן פּאַראָל שוץ אָדער ענקריפּשאַן. די דאַטן האָבן אַרייַנגענומען קאָנטאַקט אינפֿאָרמאַציע און טוריזם-פֿאַרבונדענע אינפֿאָרמאַציע געזאַמלט דורך פֿאַרשידענע טוריסט אַגענטורן און יו. עס. שטאַטן.12 פאַלש קאָנפיגורירטע אויטענטיפֿיקאַציע מעקאַניזמען ווערן באַטראַכט ווי אַ וואַריאַנט פון דער קאַטעגאָריע "צעבראָכענע באַניצער אויטענטיפֿיקאַציע".
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
11 טולאַס, ביל. די ריטעיל קייט האט טאָפּיק אַנטפּלעקט אַ כוואַליע פון ​​קראַדענטשאַל-שטאַפּלינג אַטאַקעס. בליפּינגקאָמפּיוטער. נייעס אַרטיקל. 1 אויגוסט 2023.
12 נאַיר, פּראַדזשיט. דאַטן פון 7 מיליאָן מענטשן אויסגעשטעלט דורך יו. עס. מאַרקעטינג פּלאַטפאָרמע. דאַטן בריטש היינט. ISMG נעטוואָרק. 11 פעברואר 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

8/23

סטאַנדאַרדיזאַציע איז אייער פרייַנד פֿאַר אויטענטיפֿיקאַציע. דעווסעקאָפּס טימז זאָלן שאַפֿן איין – אָדער אַ באַגרענעצטע צאָל – אויטענטיפֿיקאַציע מעטאָדן פֿאַר אַפּליקאַציעס און זיכער מאַכן אַז דעוועלאָפּערס איינהייטלעך ימפּלעמענטירן די מעקאַניזמען איבער אַלע מיקראָסערוויסעס און APIs.

סטאַנדאַרדיזאַציע איז אייער פרייַנד פֿאַר אויטענטיפֿיקאַציע. דעווסעקאָפּס טימז זאָלן שאַפֿן איין – אָדער אַ באַגרענעצטע צאָל – אויטענטיפֿיקאַציע מעטאָדן פֿאַר אַפּליקאַציעס און זיכער מאַכן אַז דעוועלאָפּערס איינהייטלעך ימפּלעמענטירן די מעכאַניזמען איבער אַלע מיקראָסערוויסעס און APIs. יעדע אויטענטיפֿיקאַציע ימפּלעמענטאַציע זאָל זיין ריviewגעשאַפֿן אינעם קאָנטעקסט פֿון דעם OWASP אַפּליקאַציע זיכערהייט וועריפֿיקאַציע סטאַנדאַרט (ASVS), איצט אין ווערסיע 4,13, צו פֿאַרזיכערן די ריכטיקייט פֿון דער אימפּלעמענטאַציע און פֿאַרבונדענע זיכערהייט קאָנטראָלן. יעדע אָפּנייגונג פֿון דעם סטאַנדאַרט – ספּעציעל יעדע אַבזיכטלעכע אויפֿדעקונג פֿון נישט-אויטענטיפֿיצירטע ענדפּונקטן – זאָל ווערן עוואַלויִרט דורך דעם זיכערהייט מאַנשאַפֿט און נאָר ערלויבט צו באַפֿרידיקן אַ שטאַרקע געשעפֿטלעכע באַדערפֿניש.
ווי קען OpenText העלפֿן?
OAuth און JWT זענען צוויי פון די מערסטע געוויינטלעכע טיפן פון אויטענטיפיקאציע גענוצט צו אימפלעמענטירן APIs, און OpenText Dynamic Application Security Testing האט טשעקס פאר שוואכע אימפלעמענטאציעס פון ביידע סטאנדארטן אין אפליקאציעס, ווי אויך מיסקאנפיגוראציעס און שוואכע מוסטערן, ווי CSRF און Session Fixation, וואס קומען ארויף אין קאסטאם אויטענטיפיקאציע אימפלעמענטאציעס. Dynamic Application Security Tool (DAST) סקענירן דורך OpenText איז א גוטער וועג צו דעטעקטירן אויטענטיפיקאציע שוואכקייטן, ספעציעל אין אן API.
OpenText סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג ערלויבט אַ ברייטע קייט פון טשעקס שייך צו שלעכטע אויטענטיפֿיקאַציע אויך. די סטאַטישע אַנאַליז געצייַג כולל דעטעקציע פֿאַר אַלגעמיינע פּראָבלעמען - אַזאַ ווי קרעדענשאַל ליקאַדזש - ווי געזונט ווי העכסט API-ספּעציפֿישע פּראָבלעמען ווי פעלנדיקע שוץ קליימז אין JWT טאָקענס, אָדער קליימז וואָס פּאַסירן אין JWT כעדערז.
API3:2023–צעבראָכענע אָביעקט פּראָפּערטי לעוועל אויטאָריזאַציע
וואָס איז עס?
צעבראכענע אביעקט אייגנשאפט לעוועל אויטאריזאציע איז א נייע קאטעגאריע אין דער 2023 OWASP ליסטע וואס קאמבינירט צוויי קאטעגאריעס פון דער פריערדיגער ליסטע: איבערגעטריבענע דאטן אויסשטעלונג (API3:2019) און מאסע צוטיילונג (API6:2019). די פראבלעם ווערט געפֿירט דורך דעם מאנגל אין וואַלידאַציע פון ​​א באַניצער'ס אויטאריזאציע – אדער די אומרעכטע אויטאריזאציע פון ​​א באַניצער – אויף דער אביעקט-אייגנטום לעוועל. API ענדפונקטן זאלן וואַלידירן אז יעדער באַניצער האט אויטאריזאציע פאר יעדער אייגנשאפט וואס זיי פרובירן צו צוקומען אדער ענדערן. אויסניצן די פראבלעם קען פירן צו אינפארמאציע אויסשטעלונג אדער מאניפולאציע פון ​​דאטן דורך נישט-אויטאריזירטע פארטייען.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
די געוויינטלעכע און גרינג-צו-אויסניצן פראבלעם פאסירט ווען א באניצער קען זיין בארעכטיגט צו צוקומען צו געוויסע אייגנשאפטן פון א ספעציפישן אביעקט, ווי למשל רעזערווירן א צימער אין א רייזע אפליקאציע, אבער נישט צו אנדערע, ווי למשל דעם פרייז פון א צימער. ווען דער באניצער צוקומט צו די אייגנשאפטן פון אן אביעקט דורך אן API, זאל די אפליקאציע קאנטראלירן אז דער באניצער:
· זאָל קענען באַקומען צוטריט צו דער ספּעציפֿישער אייגנשאַפֿט פֿון דעם אָביעקט
13 OWASP אַפּליקאַציע זיכערהייט וועריפיקאַציע סטאַנדאַרט. OWASP. GitHub בלאַט. לעצט צוטריט: 17טן נאוועמבער 2023.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

9/23

צעבראכענע אביעקט אייגנשאפט לעוועל אויטאריזאציע איז א נייע קאטעגאריע אין דער 2023 OWASP ליסטע וואס פארבינדט צוויי קאטעגאריעס פון דער פריערדיגער ליסטע: איבערגעטריבענע דאטן אויסשטעלונג (API3:2019) און מאסע צוטיילונג (API6:2019).
OpenTextTM סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג העלפֿט צו פאַרמייַדן ביידע איבערגעטריבענע דאַטן ויסשטעלן און מאַסע אַסיינמאַנט דורך דאַטן פלאָו אַנאַליסיס. די סיסטעם וועט הויכפּונקט פילע קוואלן פון פּריוואַט דאַטן, אַזאַ ווי די באזירט אויף וועריאַבאַל נעמען אָדער באַזונדער API רופן, און ידענטיפיצירן אַבדזשעקץ וואָס לאָזן מאַסע אַסיינמאַנט.

(ווייאַליישאַנז זענען פריער געווען באַקאַנט ווי יבעריק דאַטן עקספּאָוזשער), און/אָדער
· איז ערלויבט צו ענדערן די ספעציפישע אייגנשאפט פון דעם אביעקט (געוויסע אפליקאציעס קאנטראלירן דאס נישט ווייל זיי ניצן א פריימווערק צו אויטאמאטיש מאפן web בעטן פאראמעטערס צו אביעקט פעלדער, א פראבלעם באקאנט אלס מאסע אסיינמענט).
אין אַן OWASP עקסampלע, אן אנליין ווידעא פלאטפארמע ערלויבט א באניצער צו ענדערן די באשרייבונג פון א ווידעא, אפילו א בלאקירטע ווידעא, אבער זאל נישט ערלויבן דעם באניצער צו מאדיפיצירן די `בלאקירטע' אייגנשאפט.
לייג /api/video/update _ video
{
"באַשרייַבונג": "אַ קאָמיש ווידעאָ וועגן קאַץ",
"בלאָקירט": פאַלש
}
אַטאַק עקסamples
אין יאנואר 2022, האט א באַג באַונטי פּראָגראַם אַנטדעקט אַ חסרון אין טוויטער וואָס האָט דערלויבט אַ באַניצער צו פאָרלייגן אַן אימעיל אַדרעס אָדער טעלעפאָן נומער צו טוויטער'ס סיסטעם, וואָס וואָלט דאַן צוריקגעגעבן דעם חשבון נאָמען צו וועלכן די אינפֿאָרמאַציע געהערט.14 אַן אומבאַקאַנטער אַטאַקער האָט גענוצט דעם חסרון צו צונויפשטעלן אַ רשימה פון מיליאָנען באַניצער אַקאַונץ פארבונדן צו טעלעפאָן נומערן און אימעיל אַדרעסן. דורך דערלויבן ווער עס יז צו פֿאַרבינדן צוויי פּראָפּערטיעס, האָט טוויטער אַומבאַוואוסטזיניק דערלויבט פּסעוודאָנים באַניצער צו זיין מער ספּעציפֿיש אידענטיפֿיצירט.
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
דעוועלאָפּערס זאָלן שטענדיק אימפּלעמענטירן געהעריקע קאָנטראָלן אויף דער מעגלעכקייט צו צוקומען צו אָדער ענדערן ספּעציפֿישע אָביעקט אייגנשאַפֿטן. אַנשטאָט צוריקגעבן אַן אַלגעמיינע דאַטן סטרוקטור מיט יעדער אייגנשאַפֿט – וואָס פּאַסירט אָפֿט מיט אַלגעמיינע מעטאָדן, ווי to_json() און to_string() – זאָלן פּראָגראַמירער זײַן זייער ספּעציפֿיש אין וועלכע אינפֿאָרמאַציע זיי צוריקגעבן. ווי אַן עקסטרע מאָס פֿון זיכערהייט, זאָלן אַפּליקאַציעס אימפּלעמענטירן סכעמע-באַזירטע ענטפֿער וואַלידאַציע וואָס דורכפֿירט זיכערהייט קאָנטראָלן אויף אַלע דאַטן וואָס ווערן צוריקגעגעבן דורך API מעטאָדן. צוטריט זאָל פֿאָלגן די פּרינציפּן פֿון די מינדסטע פּריווילעגיע, און נאָר דערלויבן צוטריט אויב אַבסאָלוט נייטיק.
ווי קען OpenText העלפֿן?
OpenTextTM סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג העלפֿט צו פאַרמייַדן ביידע איבערגעטריבענע דאַטן ויסשטעלן און מאַסע אַסיינמאַנט דורך דאַטן פלאָו אַנאַליז. די סיסטעם וועט הויכפּונקט פילע קוואלן פון פּריוואַט דאַטן, אַזאַ ווי די באַזירט אויף וועריאַבאַל נעמען אָדער באַזונדער API רופן, און ידענטיפיצירן אַבדזשעקץ וואָס לאָזן מאַסע אַסיינמאַנט. ניצערס קענען דעפינירן קוואלן פון זייער אייגענע אויך, טראַקינג דאַטן דורך די פּראָגראַם, און אויב עס ענדיקט זיך אין אַ וניווערסאַל אָרט, אַלערטינג די דעוועלאָפּער אָדער אָפּעראַטאָר פון די ריזיקירן.

14 אן אינצידענט וואס האט באאיינפלוסט עטלעכע אקאונטס און פריוואטע אינפארמאציע אויף טוויטער. טוויטער פריוואטקייט צענטער. טוויטער. Web בלאַט. 5 אויגוסט 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

10/23

אַפּליקאַציעס וואָס באַגרענעצן נישט די רעסורסן וואָס זענען צוגעטיילט צו באַפרידיקן אַ בקשה קענען זיין שוואַך, אַרייַנגערעכנט די וואָס באַגרענעצן נישט די צוטיילבאַרע זכּרון, די נומער פון fileס אדער פּראָצעסן צוטריטלעך, אדער די ערלויבטע קורס פון ריקוועסץ, צווישן אנדערע אַטריביוטן.

דערצו, האט OpenText SAST וויסן וועגן די וויכטיגסטע JSON און XML סעריאַליזאַציע און דעסעריאַליזאַציע מעקאַניזמען. ניצנדיק דעם, קען דער געצייַג דעטעקטירן קאָד וואָס דעסעריאַליזירט נישט ריכטיק די דאָמעין טראַנספער אָביעקטן (DTOs), וואָס קען ערלויבן מאַסע אַסיינמאַנט פון זיינע אַטריביוטן. עטלעכע פאַלן פון אינפֿאָרמאַציע ויסשטעלן און מאַסע אַסיינמאַנט קענען אויך דעטעקטירט ווערן ניצנדיק OpenText Dynamic Application Security Testing. צום סוף, קענען עטלעכע קעגן-מאָסנאַמען ימפּלאַמענטירט ווערן דורך צולייגן כּללים צו די web אַפּליקאַציע פיירוואַל (WAF).
API4:2023 – אומבאגרענעצטע רעסורסן קאנסומאציע
וואָס איז עס?
APIs שטעלן ארויס אסאך נוצלעכע ביזנעס פונקציעס. צו טאָן דאָס, נוצן זיי קאמפיוטינג רעסורסן ווי דאַטאַבייס סערווערס אדער קענען האָבן צוטריט צו אַ פיזישן קאָמפּאָנענט דורך אָפּעראַציאָנעלע טעכנאָלאָגיע. ווייל סיסטעמען האָבן אַ באַגרענעצטן סכום רעסורסן צו רעאַגירן צו API רופן, קענען אַטאַקירער ספּעציעל שאַפֿן ריקוועסץ צו שאַפֿן סצענאַרן וואָס רעזולטירן אין רעסורסן אויסשעפּונג, אָפּלייקענונג פון סערוויס, אדער געוואקסן ביזנעס קאָסטן. אין פילע פאַלן, קענען אַטאַקירער שיקן API ריקוועסץ וואָס בינדן באַדייטנדיק רעסורסן, אָוווערוועלמינג די מאַשין אָדער באַנדווידט רעסורסן און ריזאַלטינג אין אַ אָפּלייקענונג-פון-סערוויס אַטאַק. דורך שיקן ריפּיטיד ריקוועסץ פון פאַרשידענע IP אַדרעסעס אדער וואָלקן ינסטאַנסיז, קענען אַטאַקירער בייפּאַסן דיפענסיז דיזיינד צו דעטעקט סאַספּישאַס ספּייקס אין נוצן.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
API פארלאנגען ברענגען ארויס רעאקציעס. צי די רעאקציעס באטרעפן צוטריט צו א דאטאבאזע, דורכפירן I/O, לויפן קאלקולאציעס, אדער (מער און מער) דזשענערירן די רעזולטאטן פון א מאשין-לערנען מאדעל, APIs ניצן קאמפיוטינג, נעטווארק, און זכרון רעסורסן. אן אטאקירער קען שיקן API פארלאנגען צו אן ענדפונקט אלס טייל פון א דעניאל-אוף-סערוויס (DoS) אטאקע וואס, אנשטאט איבערצולאדן באנדווידט – די ציל פון א וואלומעטרישער DoS אטאקע – אויסשעפט אנשטאט דעם CPU, זכרון, און וואלקן רעסורסן. אפליקאציעס וואס באגרענעצן נישט די רעסורסן וואס זענען באשטימט צו באפרידיקן א פארלאנג קענען זיין שוואך, אריינגערעכנט די וואס באגרענעצן נישט צוגעטיילטע זכרון, די צאל... fileס אדער פּראָצעסן צוטריטלעך, אדער די ערלויבטע קורס פון ריקוועסץ, צווישן אנדערע אַטריביוטן.
די סערווער פראַסעסינג APIs דאַרפן האָבן לימיטן אין פּלאַץ צו פאַרמייַדן איבערגעטריבענע אַלאָקאַציע פון ​​זכּרון און וואָרקלאָודז, איבערגעטריבענע ריקוועסץ פֿאַר API-טריגערד אַפּעריישאַנז, אָדער איבערגעטריבענע אָפּצאָלן פֿאַר אַ דריט-פּאַרטיי סערוויס אָן ספּענדינג לימיטן.
א געוויינטלעכע אטאקע איז צו מאדיפיצירן די ארגומענטן וואס ווערן אריבערגעגעבן צום API ענדפונקט, ווי צום ביישפיל פארגרעסערן די גרייס פון דער ענטפער און בעטן מיליאנען דאטאבאזע איינטראגעס, אנשטאט, זאגן מיר, די ערשטע צען:
/api/באַניצער?בלאַט=1&גרייס=1000000
דערצו, אויב דער אטאקירער קען צוקומען צו א בעקענד סערוויס וואס נעמט געלט פאר באנוץ, קענען רעסורסן פארברויך אטאקעס ווערן גענוצט צו צאלן געלט פארן אפליקאציע אייגענטימער.ampלע ווײַזט אויף אַ פֿונקציע צו ריסעט-פּאַראָל, וואָס ניצט אַן SMS טעקסט מעסעדזש צו באַשטעטיקן אידענטיטעט און וואָס קען ווערן אָנגערופֿן טויזנטער מאָל, כּדי צו פֿאַרגרעסערן די הוצאות פֿאַרן קרבן.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

11/23

פילטערירן ביים ברעג פונעם נעץ ניצנדיק אינהאַלט-צושטעל נעטוואָרקס (CDNs) צוזאַמען מיט web אַפּליקאַציע פיירוואַלז (WAFs) קענען רעדוצירן פאַרקער פלאַדז בשעת מינימיזירן די פּראַל אויף יחיד ניצערס.

פּאָסט /סמס/שיקן _ צוריקשטעלן _ פּאַראָל _ קאָד
באַלעבאָס: willyo.net {
"טעלעפאָן נומער": "6501113434" }
אַטאַק עקסamples
זינט רעסורסן-פארברויך אטאקעס ווערן אפט צוזאמענגענומען מיט פערפארמענס און פארהאן פראבלעמען, באהאנדלען צילגעריכטע פירמעס זיי אלס טייל פון די קאסטן פון טאן ביזנעס, אנשטאט אינצידענטן וואס דארפן ווערן געמאלדן, וואס רעדוצירט זעבארקייט אין די סכנה. אין 2022, זענען אפליקאציע-שיכט דיסטריביוטעד-דעניאלאף-סערוויס (DDoS) אטאקעס, א סופערסעט פון API רעסורסן פארברויך אטאקעס, געפאלן אלס א פראצענט פון אלע אטאקעס, אבער Q4 2022 האט נאך אלץ רעגיסטרירט 79% מער אטאקעס ווי אין דעם זעלבן קווארטאל דעם פריערדיגן יאר.15
אין איין אטאקע אויסגעשמועסט אין 2015, האט א דעוועלאפער דעטעקטירט אן אנדרויד קליענט וואס האט איבערגעחזרט קאנטאקטירט זייער וועבזייטל'ס Web API מיט צופעליק גענערירטע API שליסלען, וואס רעזולטירט אין א דעניאַל-אָוו-סערוויס אטאקע. דער דעוועלאָפּער האט כייפּאַטעזירט אז א בייזוויליקע אַפּליקאַציע אינסטאַלירט אויף אַנדרויד דעוויסעס האט פרובירט צו טרעפן דעם 64-ביט API שליסל.16
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
דורך ניצן ראַטע לימיטן און שוועל, קען מען פארמיידן רוב רעסורסן פארברויך אטאקעס, כאָטש לעגיטימע טראַפיק קען אויך ווערן אַפעקטירט דורך שלעכט קאַנסטרויִרטע פארטיידיקונגען. ספּעציפֿישע לימיטן זאָלן געשטעלט ווערן אויף:
· זכּרון צוטיילונג
· פּראָצעסן
· וואָלקן אינסטאַנסן
· אַרויפגעלאָדן file באַשרײַבער און file גרייס
· רעקאָרדס צוריקגעשיקט
· נומער פון באַצאָלטע טראַנזאַקציעס צו דריט-פּאַרטיי באַדינונגען
· אַלע אַרײַנקומענדיקע פּאַראַמעטערס (למשל, סטרינג לענגקטס, אַרעי לענגקטס, אאַז"וו)
· נומער פון API אינטעראקציעס פּער קליענט אין אַ ספּעציפֿישן צייט פֿענצטער
פילטערירן ביים ברעג פונעם נעץ ניצנדיק אינהאַלט-צושטעל נעטוואָרקס (CDNs) צוזאַמען מיט web אַפּליקאַציע פיירוואַלז (WAFs) קענען רעדוצירן פאַרקער פלאַדז בשעת מינימיזירן די פּראַל אויף יחיד ניצערס. אַפּליקאַציע עקספּרעס פּלאַטפאָרמעס לאָזן גרינג פילטערינג, אַרייַנגערעכנט לימאַץ אויף זכּרון, CPUs און פּראַסעסאַז.
15 יאאכימיק, עומר. קלאודפלער די-דא-עס סכנה באריכט פאר 2022 קווארטל 4. קלאודפלער בלאג. Web בלאַט. 10טן יאַנואַר 2023.
16 ווי אזוי אפצושטעלן העק/דאס אטאקע אויף web API. סטאַקאָוווערפלאָו. Web בלאַט. 15 סעפּטעמבער 2015.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

12/23

OpenText Dynamic Application Security Testing קען טעסטן סערווערס און API פונקציעס פאר וואַלנעראַביליטי צו דעניאַל-אָף-סערוויס אַטאַק אָן צו ווירקן אויף דעם סערוויס. דערצו, דער אַקט אַליין פון לויפן אַ DAST סקען קען סטרעס-טעסטן אַ סביבה גענוג צו ווייַזן פּאָטענציעלע רעסורסן-קאַנסאַמפּשאַן שוואַכקייטן.

ווי קען OpenText העלפֿן?
מיט OpenText SAST און OpenText Dynamic Application Security Testing, קענען DevSecOps טימז טעסטן זייער קאָד און אינפראַסטרוקטור פֿאַר ווידערשטאַנד קעגן רעסורסן אויסשעפּונג אַטאַקעס. OpenText SAST קען דערקענען פילע געביטן וואו אַן אַטאַקירער וואָלט געקענט מיסברויכן די אַפּליקאַציע לאָגיק צו שאַפֿן עקסטרעמע רעסורסן קאַנסאַמשאַן.
קאָד-לעוועל זיכערהייט איז נישט גענוג צו אַדרעסירן דעם פּראָבלעם אין דער אַפּליקאַציע. רעסורסן אויסשעפּונג און ראַטע לימיטאַציע זענען ספּעציפֿישע סוב-סעגמענטן פון דעניאַל-אָף-סערוויס אַטאַקעס וואָס זאָלן זיין פֿאַרמינערט ביי ראַנטיים. OpenText Dynamic Application Security Testing קען טעסטן סערווערס און API פונקציעס פֿאַר וואַלנעראַביליטי צו דעניאַל-אָף-סערוויס אַטאַק אָן צו ווירקן אויף דעם סערוויס. אין דערצו, דער אַקט אַליין פון לויפן אַ DAST סקען קען סטרעס-טעסטן אַ סביבה גענוג צו ווייַזן פּאָטענציעלע רעסורסן-קאַנסומפּשאַן שוואַכקייטן.
API5:2023–צעבראָכענע פֿונקציע לעוועל אויטאָריזאַציע
וואָס איז עס?
די מאָדערנע אַפּליקאַציע האט פיל פֿאַרשידענע פֿונקציעס וואָס צוטריטן, שאַפֿן, מאַניפּולירן, ויסמעקן און פאַרוואַלטן דאַטן. נישט יעדער אַפּליקאַציע באַניצער דאַרף צוטריט צו יעדער פֿונקציע אָדער אַלע דאַטן, און עס זאָל אויך נישט זיין ערלויבט אונטער דעם פּרינציפּ פֿון קלענסטער פּריווילעגיע. יעדער API ענדפּוינט האט אַן בדעה וילעם וואָס קען אַרייַננעמען אַנאָנימע, רעגולערע נישט-פּריווילעגירטע און פּריווילעגירטע באַניצער. אַדמיניסטראַטיווע און פאַרוואַלטונג פֿונקציעס זאָלן דאַרפן פּריווילעגירטע אויטאָריזאַציע, אָבער זענען מאל צוטריטלעך דורך לעגיטימע API רופן פֿון נישט-אָטעריזירטע באַניצער - דער מקור פֿון Broken Function Level Authorization. צוליב די פֿאַרשידענע כייעראַרכיעס, גרופּעס און ראָלעס וואָס שאַפֿן קאָמפּלעקסיטעט אין צוטריט קאָנטראָלן, קען עס זיין אַז אַפּליקאַציע פֿונקציעס האָבן נישט פּאַסיקע באַגרענעצונגען אויף ווער מעג זיי רופן.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
אַפּליקאַציעס וואָס לאָזן ספּעציפֿישע פֿונקציעס דורכפֿירן אַדמיניסטראַטיווע אויפֿגאַבן קענען נישט באַגרענעצן צוטריט צו יענע פֿונקציעס אויף אַ זיכערן וועג. APIs וואָס זענען גלייך פֿאַרבונדן מיט אַזעלכע פֿונקציעס וועלן אויסשטעלן יענע שוואַכקייטן צו עקספּלואַטאַציע. פֿונקציעס וואָס נוצן נישט די אַפּליקאַציע'ס אָטענטאַקיישאַן און אויטאָריזאַציע מעקאַניזאַם זאָלן באַטראַכט ווערן ווי פּאָטענציעלע זיכערהייט שוואַכקייטן.
אין אַן עקסampווי ציטירט דורך OWASP, באַקומט אַן אַטאַקירער צוטריט צו די API ריקוועסץ פֿאַר צולייגן אַן איינגעלאַדן באַניצער צו אַ נייַער מאָביל אַפּלאַקיישאַן, באַמערקנדיק אַז די איינלאַדונג כולל אינפֿאָרמאַציע וועגן דעם איינגעלאַדן'ס ראָלע. אויסנוצנדיק די שוואַכקייט, שיקט דער אַטאַקירער אַ נייַ איינלאַדונג:
פּאָסט /api/invites/new
{
"אימעיל": "אַטאַקער@somehost.com",
ראָלע: אַדמין
} דאָס ערלויבט זיי צו באַקומען אַדמיניסטראַטיווע פּריווילעגיעס אויף דער סיסטעם.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

13/23

DevSecOps טימז זאָלן דיזיינען אַ סטאַנדאַרט צוגאַנג צו אויטאָריזאַציע און אָטענטאַקיישאַן וואָס פאַרהיט אַקסעס צו ריקוועסץ דורך דיפאָלט, און דורכפירן אַ דיפאָלט פון "לייקענען אַלע".
אַפּליקאַציע קאָנטראָל און לאָגיק פלאָוז זענען די האַרץ פון יעדן אָנליין געשעפט, און ווי קאָמפּאַניעס אַריבערפירן מער פון זייערע אָפּעראַציעס צו די וואָלקן, קענען יענע פלאָוז ווערן אויסגעשטעלט און אויסגענוצט. די איבערגעטריבענע צוטריט קען שאַטן דעם געשעפט.

אַטאַק עקסamples
אין 2022, האט די טעקסאס דעפארטמענט פון אינשורענס געמאלדן דעם פובליק אז אינפארמאציע פון ​​כמעט צוויי מיליאן טעקסאנער איז געווארן אויפגעדעקט דורך א טייל פון די ארבעטער'ס קאמפענסאציע אפליקאציע וואס האט אומאפיציעל ערלויבט מיטגלידער פון דעם פובליק צו צוקומען צו באשיצטע דאטן.17 אין א צווייטן אינצידענט אין 2022, האט די אויסטראלישע טעלעקאמוניקאציע פירמע אפטוס אנערקענט אז פערזענליכע און אקאונט אינפארמאציע אויף אזויפיל ווי 10 מיליאן אויסטראליער איז געווארן אויפגעדעקט דורך אן API וואס האט נישט פארלאנגט קיין אויטענטיפיקאציע אדער אויטאריזאציע. כאטש אפטוס האט גערופן דעם אטאקע "סאפייסטיקירט," האט א זיכערהייט פארשער באקאנט מיט די דעטאלן פון דעם אטאקע עס באשריבן אלס "טריוויאל."18
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
DevSecOps טימז זאָלן דיזיינען אַ סטאַנדאַרט צוגאַנג צו אויטענטיפֿיקאַציע און אויטאָריזאַציע וואָס פאַרהיט צוטריט צו ריקוועסץ דורך דיפאָלט, דורכפֿירנדיק אַ דיפאָלט פון "לייקענען אַלע." פֿון דעם דיפאָלט, שטענדיק אָנווענדן דעם פּרינציפּ פֿון קלענסטע פּריווילעגיע ווען איר באַשטימט צוטריט פֿאַר ראָלעס/גרופּעס/באַניצער. דעוועלאָפּערס זאָלן זיכער מאַכן אַז אויטענטיפֿיקאַציע און אויטאָריזאַציע זענען אין פּלאַץ פֿאַר אַלע באַטייַטיק HTTP ווערבס/מעטאָדן (למשל, POST, GET, PUT, PATCH, DELETE) שייך צו יעדן API ענדפּוינט. נישט באַטייַטיק ווערבס זאָלן זיין נישט ערלויבט. אין דערצו, דעוועלאָפּערס זאָלן ימפּלעמענטירן אַ באַזע קלאַס פֿאַר אַדמיניסטראַטיוו צוטריט און פאַרוואַלטונג, ניצן קלאַס ירושה צו זיכער מאַכן אַז אויטאָריזאַציע קאָנטראָלס קאָנטראָלירן די באַניצער ס ראָלע איידער זיי געבן צוטריט. אַלע קריטישע אַדמיניסטראַטיווע פֿונקציעס זאָלן נוצן דעם אויטאָריזאַציע מעקאַניזאַם צו פאַרמייַדן פּריווילעגיע עסקאַלאַציע.
ווי קען OpenText העלפֿן?
דורך קאמבינירן די סטאטישע קאוד און API אנאליז אייגנשאפטן פון OpenTextTM סטאטישע אפליקאציע זיכערהייט טעסטן מיט די ראנטיים טשעקס פון די OpenText דינאמישע אפליקאציע זיכערהייט טעסטן (DAST) סוויט, קענען DevSecOps טימז אפשאצן זייער אפליקאציע פאר צעבראכענע פונקציע-לעוועל אויטאריזאציע פראבלעמען און קאנטינעווירלעך טעסטן פראדוקציע קאוד פאר זיכערהייט שוואכקייטן פארן דיפלויען. צו דעטעקטירן צעבראכענע אביעקט פונקציע אויטאריזאציע פראבלעמען, ניצט OpenTextTM סטאטישע אפליקאציע זיכערהייט טעסטן רעגולאציעס וואס ספעציפיצירן ווען אן אויטאריזאציע טשעק וואלט געווען ערווארטעט אין געוויסע פראגראמירן שפראכן און פריימווערקס, און די אפוועזנהייט פון אזא טשעק ווערט געמאלדן.
API6:2023 – אומבאַגרענעצטער צוטריט צו סענסיטיווע געשעפט־פלוסן
וואָס איז עס?
פֿון סניקערבאָץ ביז בילעט באָץ, אַטאַקעס אויף די אינווענטאַר פֿון אָנליין רעטיילערס דורך זייערע APIs איז געוואָרן אַ באַדייטנדיק פּראָבלעם פֿאַר E- האַנדל זייטלעך. דורך פֿאַרשטיין דעם געשעפֿט מאָדעל און די אַפּליקאַציע לאָגיק, קען אַן אַטאַקירער שאַפֿן אַ סעריע API רופֿן וואָס קענען אויטאָמאַטיש רעזערווירן אָדער קויפֿן.
17 ביפערמאן, דזשייסאן. פערזענלעכע אינפארמאציע פון ​​1.8 מיליאן טעקסאנער מיט דעפארטמענט אף אינשורענס קליימס איז געווען אויסגעשטעלט פאר יארן, זאגט אן אוידיט. די טעקסאס טריביון. 17טן מיי 2022.
18 טיילער, דזשאָש. אָפּטוס דאַטן בריטש: אַלץ וואָס מיר ווייסן ביז איצט וועגן וואָס איז געשען. דער גאַרדיאַן. 28 סעפּטעמבער 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

14/23

פאַרהיטן אַנבאַגרענעצטן צוטריט צו סענסיטיווע געשעפט פלאָוז איז מער וועגן אַ האָליסטישן צוגאַנג צו אַפּלאַקיישאַן זיכערהייט און ווייניקער וועגן געפֿינען אַ ספּעציפֿישע טעכנאָלאָגיע.

אינווענטאַר, אזוי פאַרהיטנדיק אַנדערע, לעגיטימע קאָנסומערס פון באַקומען צוטריט צו די געשעפטן' פּראָדוקטן אָדער באַדינונגען. יעדע API וואָס ערלויבט צוטריט צו אַ געשעפט פּראָצעס קען ווערן גענוצט דורך אַן אַטאַקער צו ווירקן אויף דעם געשעפט און פאַלט אונטער דער דעפֿיניציע פון ​​אַנריסטריקטיד צוטריט צו סענסיטיווע געשעפט פלאָוז.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
אַפּליקאַציע קאָנטראָל און לאָגיק פלאָוז זענען די האַרץ פון יעדן אָנליין געשעפט, און ווי קאָמפּאַניעס אַריבערפירן מער פון זייערע אָפּעראַציעס צו די וואָלקן, קענען יענע פלאָוז ווערן אויפגעדעקט און אויסגענוצט. דער איבערגעטריבענער צוטריט קען שאַטן דעם געשעפט, ווען אַטאַקירער אויטאָמאַטיזירן דעם קויפן פון פּראָדוקטן, שאַפֿן באָטן פֿאַר לאָזן באַמערקונגען און...viewס, אדער אויטאמאטיזירן די רעזערוואציע פון ​​סחורות אדער סערוויסעס.
אויב אַן אַפּליקאַציע אָפפערט אַן ענדפּוינט וואָס האָט צוטריט צו דער פירמע'ס געשעפט־פלוס אָן צו באַגרענעצן צוטריט צו די געשעפט־אַפּעראַציעס הינטער דעם ענדפּוינט, וועט די אַפּליקאַציע זיין שוואַך. שוץ־מיטלען אַרייַננעמען באַגרענעצן די צאָל צוטריט־פאַרזוכן פֿון אַן איינציקן מיטל דורך פינגערפּרינטינג, דעטעקטירן צי די טעטיקייט שטאַמט פֿון אַ מענטשלעכן אַקטיאָר, און דעטעקטירן צי אָטאָמאַציע איז פֿאַרבונדן.
אַטאַק עקסamples
ווען טיילער סוויפט בילעטן זענען געגאנגען אין פארקויף אויף טיקעטמאַסטער אין נאוועמבער 2022, האבן 1.5 מיליאן קאסטומערס זיך פאררעגיסטרירט, אבער מער ווי 14 מיליאן פארלאנגען – אריינגערעכנט דריי מאל אזויפיל באט טרעפיק – האבן...ampהאט געענדערט די קויפן לינקס און APIs אזוי שנעל ווי די בילעט פארקויפונגען האבן זיך געעפנט. די וועבזייטל איז צוזאמגעפאלן, און האט פארמיידט אסאך קאסטומערס פון קויפן בילעטן.19
דער אָנפֿאַל פֿון ריסעלער באָטן האָט זיך געגליכן צו יענע וואָס האָבן חרובֿ געמאַכט דעם לאַנטש פֿון דער פּלייסטיישאַן 5 אין נאָוועמבער 2020. פּראָבלעמען מיטן צושטעלן-קייט האָבן שוין באַגרענעצט דעם צושטעל פֿאַר דעם לאַנטש פֿון דער לעצטער סאָני גיימינג קאָנסאָל, אָבער די אויטאָמאַטישע באָטן האָבן געמאַכט עס נאָך שווערער צו געפֿינען פֿאַראַן אַפּאַראַטן און האָבן געפֿירט צו אַסטראָנאָמישע ווידערפֿאַרקויף-פּרייזן. אין איין פֿאַל פֿון אַן אי-קאַמערץ וועבזײַט, איז די צאָל פֿון "לייג צו וואָגן" טראַנזאַקציעס געוואַקסן פֿון אַ דורכשניט פֿון 15,000 בקשות פּער שעה צו מער ווי 27 מיליאָן, ניצנדיק דעם קראָם'ס API צו גלייך בעטן פּראָדוקטן לויט SKU נומער.20
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
דעוועלאָפּערס זאָלן אַרבעטן מיט ביידע די געשעפט-אָפּעראַציע און אינזשעניריע טימז צו אַדרעסירן פּראָבלעמען פון פּאָטענציעל בייזוויליקן אַקסעס צו געשעפט-פלאָוז. געשעפט טימז קענען ידענטיפיצירן וועלכע פלאָוז זענען אויסגעשטעלט דורך APIs און דורכפירן סאַקאָנע אַנאַליזעס צו באַשטימען ווי אַטאַקערז קענען מיסברויכן די ענדפּוינץ. דערווייל, דעוועלאָפּערס זאָלן אַרבעטן מיט אינזשעניריע אָפּעראַציעס ווי טייל פון אַ DevOps מאַנשאַפֿט צו שאַפֿן נאָך טעכנישע דיפענסיוו מיטלען, אַזאַ ווי ניצן מיטל פינגערפּרינטינג צו פאַרמייַדן אָטאַמייטיד בלעטערער ינסטאַנסיז פון אָוווערוועלמינג און ידענטיפיצירן פּאַטערנז אין נאַטור וואָס דיפערענט צווישן מענטשלעכע און מאַשין אַקטיאָרן.
19 סטיל, בילי. טיקעטמאַסטער ווייסט אז עס האט א באָט פּראָבלעם, אָבער עס וויל אז קאנגרעס זאָל עס פאררעכטן. ענגאַדזשעט. נייעס אַרטיקל. 24 יאַנואַר 2023.
20 מווואַנדי, טאַפאַראַ און וואָרבורטאָן, דוד. ווי באָטן האָבן חרובֿ געמאַכט דעם פּלייסטיישאַן 5 לאָנטש פֿאַר מיליאָנען גיימערס. F5 לאַבס בלאָג. F5. Web בלאַט. 18 מערץ 2023.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

15/23

דער מערסט באַקאַנטער עקסampטייל פון אַן SSRF אַטאַק האָט אַרייַנגענומען אַ געוועזענע אַמאַזאָן Web סערוויסעס (AWS) אינזשעניר וואָס האָט אויסגענוצט אַ פאַלש קאָנפיגורירטע web אַפּליקאַציע פיירוואַל (WAF) צו דערנאָך נוצן אַן SSRF חסרון צו זאַמלען דאַטן פון אַ סערווער אינסטאַנץ וואָס געהערט צו דעם פינאַנציעלן ריז קאַפּיטאַל איין.

אָפּעראַציעס טימז זאָלן אויך ווידערview יעדע APIs וואָס זענען דיזיינד צו ווערן גענוצט דורך אַנדערע מאשינען, ווי למשל פֿאַר B2B נוץ־פֿאַלן, און זיכער מאַכן אַז עטלעכע פֿאַרטיידיקונגען זענען אין פּלאַץ צו פֿאַרהיטן אַטאַקירער פֿון אויסנוצן מאַשין־צו־מאַשין אינטעראַקציעס.
ווי קען OpenText העלפֿן?
כאַפּן שוואַכע און סענסיטיווע געשעפט פלאָוז אָפט דעפּענדס אויף טאָן די באַסיקס. פירמעס דאַרפֿן צו דאָקומענטירן און טראַקן אַלע זייערע פונקציאָנירנדיקע APIs און באַשטימען וועלכע שטעלן אויס סענסיטיווע פּראָצעסן און דאַטן צו פּאָטענציעלע אַטאַקירער. אַפּליקאַציע לאָגיק דאַרף אויך ווערן אַנאַליזירט פֿאַר לאָגיק חסרונות וואָס קענען ווערן אויסגענוצט דורך אַטאַקירער.
אינגאנצן, פאַרהיטן אַנבאַגרענעצטן צוטריט צו סענסיטיווע געשעפט פלאָוז איז מער וועגן אַ האָליסטישן צוגאַנג צו אַפּלאַקיישאַן זיכערהייט און ווייניקער וועגן געפֿינען אַ ספּעציפֿישע טעכנאָלאָגיע.
API7:2023–סערווער זייט פארלאנג פאלשעריי
וואָס איז עס?
בעקענד סערווערס האנדלען מיט פארלאנגען געמאכט דורך API ענדפונקטן. סערווער-זייט פארלאנג פארדזשערי (SSRF) איז א שוואכקייט וואס ערלויבט אן אטאקירער צו ברענגען א סערווער צו שיקן פארלאנגען אין זייער נאמען און מיטן סערווער'ס פריווילעגיע לעוועל. אפטמאל ניצט די אטאקע דעם סערווער צו איבערבריקן דעם שפאלט צווישן דעם עקסטערנעם אטאקירער און דעם אינערלעכן נעץ. גרונטלעכע SSRF אטאקעס רעזולטירן אין אן ענטפער וואס ווערט צוריקגעשיקט צום אטאקירער, א פיל גרינגערער סצענאר ווי בלינדע SSRF אטאקעס, וואו קיין ענטפער ווערט נישט צוריקגעשיקט, לאזנדיג דעם אטאקירער אן קיין באשטעטיגונג צי דער אטאקע איז געווען געראָטן.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
סערווער-זייט פארלאנג פארשונג (SSRF) חסרונות זענען אין עיקר א רעזולטאט פון א מאנגל אין באשטעטיגונג פון באניצער-געגעבענע אינפוט. אטאקירער קענען שאפן פארלאנגען און ארייננעמען א URI וואס גיט צוטריט צו דער געצילטער אפליקאציע.
מאָדערנע קאָנצעפּטן אין אַפּליקאַציע אַנטוויקלונג, אַזאַ ווי webהוקן און סטאַנדאַרדיזירטע אַפּליקאַציע פריימווערקס, מאַכן SSRF מער געוויינטלעך און מער געפערלעך, לויט OWASP.
אין אַן עקסampציטירט דורך OWASP, א סאציאלע נעץ וואס ערלויבט באנוצער צו ארויפלאדן פראגראמעןfile בילדער קענען זיין שוואַך צו SSRF, אויב דער סערווער וואַלידירט נישט די אַרגומענטן וואָס ווערן געשיקט צו דער אַפּליקאַציע. אַנשטאָט אַ URL ווײַזנדיק אויף אַ בילד, ווי למשל:
פּאָסט /אַפּי/פּראָfile/אַרויפֿלאָדן _ בילד
{
"בילד _ url": "http://example.com/profile _ בילד.דזשפּג"
}
אַן אַטאַקער קען שיקן אַ URI וואָס קען באַשטימען צי אַ ספּעציפֿישער פּאָרט איז אָפֿן ניצנדיק דעם פֿאָלגנדיקן API רוף:
{ "בילד _ url": "לאקאל האסט:8080"
}

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

16/23

זיכערהייט מיסקאָנפֿיגוראַציע נעמט אַרײַן אויפֿשטעלן אַפּליקאַציעס מיט שוואַכע דיפאָלט קאָנפֿיגוראַציעס, ערלויבן צו דערלויבנדיק צוטריט צו סענסיטיווע פֿונקציעס און דאַטן, און עפֿנטלעך אַנטפּלעקן אַפּליקאַציע אינפֿאָרמאַציע דורך דעטאַלירטע טעות מעסעדזשעס.

אפילו אין א בלינד SSRF פאַל, קען אַן אַטאַקער אַרויסגעפֿינען צי דער פּאָרט איז אָפֿן דורך מעסטן די צייט וואָס עס נעמט צו באַקומען אַן ענטפֿער.
אַטאַק עקסamples
דער מערסט באַקאַנטער עקסampטייל פון אַן SSRF אַטאַק האָט אַרייַנגענומען אַ געוועזענע אַמאַזאָן Web סערוויסעס (AWS) אינזשעניר וואָס האָט אויסגענוצט אַ פאַלש קאָנפיגורירטע web אַפּליקאַציע פיירוואַל (WAF) צו דערנאָך נוצן אַן SSRF חסרון צו זאַמלען דאַטן פון אַ סערווער אינסטאַנץ וואָס געהערט צו דער פינאַנציעלער ריז קאַפּיטאַל וואן. דער אינצידענט, וואָס איז געשען אין יולי 2019, האָט רעזולטירט אין דאַטן פון אַרום 100 מיליאָן יו. עס. בירגער און זעקס מיליאָן קאַנאַדישע בירגער וואָס זענען געוואָרן גע'גנב'עט.21 אַמאַזאָן באַטראַכט די מיסקאָנפֿיגוראַציע ווי די מקור פון די קאָמפּראָמיס, אלא ווי די SSRF חסרון.22
אין אקטאבער 2022, האט א וואָלקן זיכערהייט פירמע געמאָלדן מייקראָסאָפֿט וועגן פיר SSRF שוואַכקייטן אין דער פירמע'ס פלאַגשיפּ אַזור וואָלקן פּלאַטפאָרמע. יעדע שוואַכקייט האט אַפעקטירט אַן אַנדער אַזור סערוויס, אַרייַנגערעכנט די אַזור מאַשין לערנינג סערוויס און די אַזור API מאַנאַגעמענט סערוויס.23
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
דעוועלאָפּערס זאָלן איינשליסן די רעסורסן-אויפנעמען מעכאַניזמען אין זייער קאָד, אפגעזונדערט די פֿונקציע און צולייגן צוגאב שוץ צו וועריפֿיצירן יעדע ריקוועסץ. ווייל אַזעלכע פֿונקציעס ווערן טיפּיש גענוצט צו ברענגען ווייטע רעסורסן און נישט אינערלעכע, זאָלן דעוועלאָפּערס קאָנפֿיגורירן די איינגעשלאָסענע פֿונקציעס צו נוצן אַ רשימה פֿון ערלויבטע ווייטע רעסורסן און בלאָקירן פֿאַרזוכן צו צוקומען צו אינערלעכע רעסורסן. HTTP רידערעקשאַן זאָל זיין דיסייבאַלד פֿאַר די רעסורסן-אויפנעמען פֿונקציעס און יעדע ריקוועסץ וואָס ווערן פּאַרסט פֿאַר בייזוויליקן קאָד.
דער ריזיקע פון ​​SSRF שוואכקייטן קען נישט שטענדיק אינגאנצן עלימינירט ווערן, ממילא זאלן פירמעס גוט באטראכטן דעם ריזיקע פון ​​ניצן רופן צו עקסטערנע רעסורסן.
ווי קען OpenText העלפֿן?
OpenText דינאמישע אפליקאציע זיכערהייט טעסטן ערלויבט DevSecOps טימז צו רעגולער טעסטן פאר סערווער-זייט פארלאנג פארשונג. OpenTextTM דינאמישע אפליקאציע זיכערהייט טעסטן סקענט אן אפליקאציע סערווער אין א קאנפיגורירטער סביבה אזוי אז אלע קאמפאנענטן – אפליקאציע, סערווער, און נעטווארק – קענען ווערן געטעסט, געבענדיג די דינאמישע אנאליז פלאטפארמע א פולשטענדיגע... view פון די ווירקונג פון סערווער פארלאנגען.
OpenText SAST קען דעטעקטירן פילע פעלער פון SSRF דורך טאיינט אנאליז – למשלampלע, אויב די אַפּליקאַציע ניצט נישט-וואַלידירטע באַניצער אַרייַנשרייַב צו קאַנסטרויִרן אַ URL וואָס וועט דעמאָלט געכאפט ווערן. דער געצייַג וועט אָנצייכענען די נוצן פון אַנלימיטעד באַניצער אַרייַנשרייַב.

21 אינפֿאָרמאַציע וועגן דעם קאַפּיטאַל איין סייבער אינצידענט. קאַפּיטאַל איין אַדווייזאָרי. Web בלאַט. דערהייַנטיקט 22 אַפּריל 2022.
22 נג, אלפרעד. עמעזאן זאגט סענאטארן אז עס איז נישט שולדיג פארן קאפיטאל וואן דורכברוך. CNET נייעס.קאם. נייעס ארטיקל. 21 נאוועמבער 2019.
23 שטריט, לידור בן. ווי אזוי אָרקאַ האט געפֿונען סערווער-זײַטיקע פֿאַרלאַנג-פֿאַלשקייט (SSRF) שוואַכקײַטן אין פֿיר פֿאַרשידענע אַזור סערוויסעס. אָרקאַ זיכערהייט בלאָג. Web בלאַט. 17טן יאַנואַר 2023.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

17/23

זיכערהייט-ווי-קאד קען העלפן, דורך מאכן קאנפיגוראציעס איבערחזרנדיק און געבן אפליקאציע-זיכערהייט טימס די מעגלעכקייט צו שטעלן סטאנדארט קאנפיגוראציע סעטס פאר ספעציפישע אפליקאציע קאמפאנענטן.

API8:2023–זיכערהייט מיסקאָנפֿיגוראַציע
וואָס איז עס?
דעוועלאָפּערס אָפט פאַלש קאָנפיגורירן זייערע אַפּליקאַציעס, פאַרלאָזן צו צעשיידן אַנטוויקלונג אַסעץ פון פּראָדוקציע אַסעץ, עקספּאָרטינג סענסיטיוו fileס–אַזש קאָנפיגוראַציע files–צו זייערע עפנטלעכע רעפאזיטאריעס, און נישט ענדערן די פעליקייט קאנפיגוראציעס. זיכערהייט מיסקאנפיגוראציע שליסט איין אויפשטעלן אפליקאציעס מיט שוואכע פעליקייט קאנפיגוראציעס, ערלויבן צו דערלויבנדיק צוטריט צו סענסיטיווע פונקציעס און דאטן, און עפנטלעך אנטפלעקן אפליקאציע אינפארמאציע דורך דעטאלירטע טעות מעסעדזשעס.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
דיפאָלט אַפּליקאַציע קאָנפיגוראַציעס זענען אָפט צו דערלויבנדיק, עס פעלט זיכערהייט פֿאַרשטאַרקונג, און זיי לאָזן וואָלקן סטאָרידזש אינסטאַנסן אָפֿן פֿאַר דער עפֿנטלעכקייט. אָפט, די web פריימווערקס אויף וועלכע אַפּליקאַציעס זענען באַזירט אַרייַננעמען אַ פּלאַץ פון אַפּליקאַציע פֿעיִקייטן וואָס זענען נישט נייטיק און וועמענס אַרייַננעמען ראַדוסאַז זיכערהייט.
אין אַן עקסampדעטאַלירט דורך OWASP, אַ סאציאלע נעץ וואָס אָפפערט אַ דירעקט מעסעדזשינג פֿונקציע זאָל באַשיצן די פּריוואַטקייט פון באַניצער, אָבער אָפפערט אַן API בקשה צו צוריקקריגן אַ ספּעציפֿישע שמועס ניצנדיק די פאלגענדע בייַשפּילampדי API פארלאנג:
באַקומען /dm/באַניצער _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA
דער API ענדפּוינט באַגרענעצט נישט די דאַטן וואָס ווערן געהאַלטן אין קאַש, וואָס רעזולטירט אין פּריוואַטע שמועסן וואָס ווערן געקעשט דורך די web בלעטערער. אַטאַקירער קענען צוריקקריגן די אינפֿאָרמאַציע פֿונעם בלעטערער, ​​און אַזוי אויפֿדעקן די קרבנות'ס פּריוואַטע מעסעדזשעס.
אַטאַק עקסamples
אין מאי 2021, האט א וואָלקן זיכערהייט פירמע געמאָלדן מייקראָסאָפֿט אַז לפּחות 47 פֿאַרשידענע קאַסטאַמערז האָבן נישט געענדערט די פעליקייט קאָנפיגוראַציע פֿון זייערע אינסטאַנץ פֿון מייקראָסאָפֿט פּאַוער אַפּפּס. די באַטראָפֿענע אָרגאַניזאַציעס האָבן אַרייַנגענומען פֿירמעס, ווי אמעריקען עירליינס און מייקראָסאָפֿט, און שטאַט רעגירונגען, ווי די פֿון אינדיאַנע און מערילאַנד, און האָבן אויסגעשטעלט 38 מיליאָן רעקאָרדס צו פּאָטענציעלער קאָמפּראָמיט איבער די פּאַוער אַפּפּס פּאָרטאַלן.24
אין 2022, האט א פירמע פאר שוואכקייטן-פארוואלטונג אנטדעקט אז 12,000 וואלקן-אינסטאנצן זענען געהאוסטעט געווארן אויף עמעזאן. Web סערוויסעס און 10,500 וואָס זענען געהאָוסטעד אויף אַזור האָבן ווייטער אויפגעדעקט טעלנעט, אַ פּראָטאָקאָל פֿאַר ווייטער אַקסעס וואָס ווערט באַטראַכט ווי "נישט פּאַסיק פֿאַר יעדן אינטערנעט-באַזירטן באַנוץ הייַנט," לויט אַ באַריכט פֿון 2022 די אַרײַננעמען פֿון נישט-נייטיקע און נישט-זיכערע פֿונקציעס אונטערמינירט די זיכערהייט פֿון די APIs און אַפּליקאַציעס.

24 אַפּגאַרד פאָרשונג. לויט פּלאַן: ווי פעליקייַט פּערמישאַנז אויף מייקראָסאָפֿט פּאַוער אַפּפּס האָבן אויסגעשטעלט מיליאָנען. אַפּגאַרד פאָרשונג בלאָג. Web בלאַט. 23 אויגוסט 2021.
25 בירדסלי, טאָד. 2022 וואָלקן מיסקאָנפֿיגוראַציעס באַריכט. ראַפּיד7. פּדף באַריכט. ז. 12. 20 אַפּריל 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

18/23

א דאקומענטאציע בלינדפלעק איז ווען די פרטים פון די API'ס צוועק, פונקציאנירן, און ווערסיעינג זענען נישט קלאר צוליב א מאנגל אין דאקומענטאציע וואס דעטאלירט די וויכטיגע אייגנשאפטן.

ווי אזוי קען מען דאס פארמיידן פון א דעוועלאפער?
DevSecOps טימז דאַרפֿן פֿאַרשטיין די טריט וואָס זענען נייטיק צו שאַפֿן זיכערע קאָנפיגוראַציעס פֿאַר זייערע אַפּליקאַציעס און נוצן אַן אויטאָמאַטישע אַנטוויקלונג פּייפּליין צו קאָנטראָלירן קאָנפיגוראַציע. fileס פארן דיפּלוימאַנט, אַרייַנגערעכנט רעגולערע יוניט טעסטן און ראַנטיים טשעקס צו קעסיידער קאָנטראָלירן די ווייכווארג פֿאַר קאָנפיגוראַציע ערראָרס אָדער זיכערהייט פּראָבלעמען. זיכערהייט-ווי-קאָד קען העלפֿן, דורך מאַכן קאָנפיגוראַציעס ריפּיטאַבאַל און געבן אַפּלאַקיישאַן-זיכערהייט טימז די מעגלעכקייט צו שטעלן נאָרמאַל קאָנפיגוראַציע סעץ פֿאַר ספּעציפֿישע אַפּלאַקיישאַן קאַמפּאָונאַנץ.
אלס טייל פון זייער זיכערן אנטוויקלונג לעבנסציקל, זאלן אנטוויקלער און אפעראציעס טימס:
· אויפשטעלן אַ פֿאַרהאַרטונג פּראָצעס וואָס פֿאַרפּשוטערט די איבערחזרנדיקע שאַפֿונג און וישאַלט פֿון אַ זיכערער אַפּליקאַציע סביבה,
· רעview און דערהייַנטיקן אַלע קאָנפיגוראַציעס איבער די API סטעק צו ינקאָרפּערייט די נייַע סטאַנדאַרט קאָנסיסטענטלי, און
· אויטאמאטיזירן די אפשאצונג פון די עפעקטיווקייט פון די קאנפיגוראציע סעטינגס אין אלע סביבות.
ווי קען OpenText העלפֿן?
OpenText סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג קען קאָנטראָלירן קאָנפיגוראַציעס בעת דעם אַנטוויקלונג פּראָצעס און אַנטדעקן פילע טייפּס פון שוואַכקייטן. ווייַל זיכערהייט מיסקאָנפיגוראַציעס פּאַסירן ביי ביידע די אַפּליקאַציע-קאָד מדרגה און ביי די ינפראַסטראַקטשער מדרגה, קענען פאַרשידענע OpenText פּראָדוקטן ווערן גענוצט צו כאַפּן מיסקאָנפיגוראַציעס.
OpenText סטאַטישע אַפּליקאַציע זיכערהייט טעסט סקענס קענען קאָנטראָלירן אַפּליקאַציע קאָד פֿאַר מיסקאָנפֿיגוראַציע פּראָבלעמען. בעת די סטאַטישע אַנאַליז קאָנטראָל, קען OpenText SAST עוואַלויִרן קאָנפֿיגוראַציע. files פֿאַר זיכערהייט ערראָרס, אַרייַנגערעכנט די פֿאַר דאָקער, קובערנעטעס, אַנסיבל, אַמאַזאָן Web סערוויסעס, קלאָודפאָרמאַציע, טערראַפאָרם, און אַזור ריסאָרס מאַנאַדזשער טעמפּלאַטן.
קאָנפיגוראַציע ערראָרס קענען אויך ווערן געכאפט בעת ראַנטיים. OpenText Dynamic Application Security Testing ערלויבט DevSecOps טימז צו רעגולער טעסטן פֿאַר געוויינטלעכע זיכערהייט מיסקאָנפיגוראַציעס. איינע פון ​​די גרעסטע שטאַרקייטן פון DAST סקאַנינג איז אַז עס לויפט אויף די אַפּלאַקיישאַן סערווער אין אַ קאָנפיגורעד סביבה, וואָס מיינט אַז די גאַנצע סביבה - אַפּלאַקיישאַן, סערווער און נעץ - ווערן טעסטעד אַלע אין איין מאָל, געבן די דינאַמיש אַנאַליסיס פּלאַטפאָרמע אַ פולשטענדיק view פון דער פּראָדוקציע סביבה איז קאָנפיגורירט.
API9:2023 – אומרעכטע אינווענטאר פאַרוואַלטונג
וואָס איז עס?
ווי רוב ווייכווארג רעסורסן, האבן APIs א לעבנס-ציקל, מיט עלטערע ווערסיעס וואס ווערן ערזעצט דורך מער זיכערע און עפעקטיווע APIs אדער, מער און מער, ניצן API פארבונדן צו דריט-פארטיי סערוויסעס. DevSecOps טימז וואס האלטן נישט אויף זייערע API ווערסיעס און דאקומענטאציע קענען אריינפירן שוואכקייטן ווען עלטערע, פעלערהאפטע API ווערסיעס ווערן ווייטער גענוצט – א שוואכקייט באקאנט אלס אומרעכטע אינווענטאר מענעדזשמענט. בעסטע פראקטיקעס פאר אינווענטאר מענעדזשמענט פארלאנגען די טרעקינג פון

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

19/23

API ווערסיעס, די רעגולערע אפשאצונג און אינווענטארירונג פון אינטעגרירטע סערוויסעס, און די רעגולערע דעפרעקאציע פון ​​אלטע ווערסיעס צו פארמיידן די פארשפרייטונג פון זיכערהייט שוואכקייטן.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
ווייכווארג ארכיטעקטורן וואָס זענען אָפּהענגיק אויף APIs – ספּעציעל די וואָס נוצן מיקראָסערוויס ארכיטעקטורן – טענדן צו אַנטדעקן מער ענדפּונקטן ווי טראַדיציאָנעלע web אַפּליקאַציעס. די פּלעטהאָראַ פון API ענדפּונקטן, צוזאַמען מיט די מעגלעכקייט פון קייפל ווערסיעס פון אַן API וואָס עקזיסטירן אין דער זעלביקער צייט, פארלאנגט נאָך פאַרוואַלטונג רעסורסן פון די API פּראַוויידער צו פאַרמייַדן אַן יקספּאַנדינג אַטאַק ייבערפלאַך. OWASP ידענטיפיצירט צוויי הויפּט בלינדע ספּאַץ וואָס DevSecOps טימז קען האָבן וועגן זייער API ינפראַסטראַקטשער.
ערשטנס, א דאקומענטאציע בלינדפלעק איז ווען די פרטים פון די API'ס צוועק, פונקציאנירן, און ווערסיע-אפטיילונג זענען נישט קלאר צוליב א מאנגל אין דאקומענטאציע וואס דעטאלירט די וויכטיגע אייגנשאפטן.
צווייטנס, א דאטן-פלוס בלינדער פלעק פאסירט ווען APIs ווערן גענוצט אויף וועגן וואס פעלט קלארקייט, וואס רעזולטירט אין מעגלעכקייטן וואס זאלן נישט דוקא ערלויבט ווערן אן א שטארקע ביזנעס בארעכטיגונג. טיילן סענסיטיווע דאטן מיט א דריטן פארטיי אן זיכערהייט גאראנטיעס, נישט זעען דעם ענד רעזולטאט פון א דאטן-פלוס, און נישט מאפן אלע דאטן-פלוסן אין פארבינדענע APIs זענען אלע בלינדע פלעקן.
ווי אַן עקסampדער OWASP באריכט ציטירט א פיקטיווע סאציאלע נעץ וואס ערלויבט אינטעגראציע מיט דריט-פארטיי אומאפהענגיקע אפליקאציעס. כאטש צושטימונג איז פארלאנגט פונעם ענד-באניצער, האלט די סאציאלע נעץ נישט גענוג זעאונג אין דעם דאטן-פלוס צו פארמיידן דאון-סטרים פארטייען פון צוקומען צו די דאטן, ווי צום ביישפיל מאניטארירן די טעטיקייט נישט נאר פון דעם באניצער, נאר אויך פון זייערע פריינט.
אַטאַק עקסamples
אין 2013 און 2014, האבן אזויפיל ווי 300,000 מענטשן גענומען אן אנליין פסיכאלאגישן קוויז אויף דער פעיסבוק פלאטפארמע. די פירמע הינטער דעם קוויז, קעמברידזש אנאליטיקה, האט נישט נאר געזאמלט אינפארמאציע וועגן די באניצער, נאר אויך זייערע פארבינדענע פריינט – א באפעלקערונג וואס האט באטראפן אזויפיל ווי 87 מיליאן מענטשן, די גרויסע מערהייט פון וועלכע האבן נישט געגעבן קיין דערלויבעניש צו זאמלען זייער אינפארמאציע. די פירמע האט דערנאך גענוצט די אינפארמאציע צו צופאסן אדווערטייזמענטס און מעסעדזשינג צו די מענטשן אין נאמען פון זייערע קליענטן, אריינגערעכנט שיקן פאליטישע אדווערטייזמענטס וואס שטיצן טראמפ'ס רעגירונג.ampאיינשליסן אין די 2016 וואלן.26 פעיסבוק'ס מאנגל אין זעבארקייט אין ווי דריטע פארטייען האבן גענוצט די אינפארמאציע וואס איז געזאמלט געווארן פון זיין פלאטפארמע איז אן עקס.ampלע פון ​​אומריכטיגע אינווענטאר פאַרוואַלטונג.
ווי אזוי קען מען דאס פארמיידן אלס א דעוועלאפער?
DevSecOps טימז זאָלן דאָקומענטירן אַלע API האָסטס און זיך קאָנצענטרירן אויף אויפהאלטן זעבארקייט אין די דאַטן פלאָוז צווישן APIs און דריט-פּאַרטיי באַדינונגען. דער הויפּט וועג צו פאַרמייַדן אומרעכטע אינווענטאַר פאַרוואַלטונג איז די דעטאַלירטע דאָקומענטאַציע פון ​​די קריטישע אַספּעקטן פון אַלע API באַדינונגען און האָסטס, אַרייַנגערעכנט אינפֿאָרמאַציע וועגן וואָס דאַטן זיי האַנדלען, ווער האט צוטריט צו די האָסטס און דאַטן,
26 ראָזענבערג, מעטיו און דענס, גאַבריעל. `דו ביסט דער פּראָדוקט': געצילט דורך קעמברידזש אַנאַליטיקאַ אויף פייסבוק. די ניו יאָרק טיימס. נייעס אַרטיקל. 8טן אַפּריל 2018.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

20/23

אָרגאַניזאַציעס קענען פאַרוואַלטן, מאָניטאָרירן, זיכערן און דאָקומענטירן זייער API באַניץ ניצנדיק דעם OpenText Secure API Manager פֿון OpenText, וואָס ערלויבט אַפּליקאַציע-זיכערהייט טימז צו האַלטן אַן אַרויף-צו-דאַטע אינווענטאַר פֿון API אַסעץ.

און די ספעציפישע API ווערסיעס פון יעדן האוסט. טעכנישע דעטאלן וואס זאלן דאקומענטירט ווערן שליסן איין די אויטענטיפיקאציע אימפלעמענטאציע, טעות האנדלונג, ראטע לימיטירנדע פארטיידיגונגען, די קראָס-אָריגין רעסורס שאַרינג (CORS) פּאָליטיק, און דעטאלן פון יעדן ענדפּוינט.
די באַטייטיקע באַנד דאָקומענטאַציע איז שווער צו פאַרוואַלטן מאַנועל, אַזוי עס איז רעקאָמענדירט צו שאַפֿן דאָקומענטאַציע דורך דעם קאָנטינויִערלעכן אינטעגראַציע פּראָצעס און ניצן אָפֿענע סטאַנדאַרדן. צוטריט צו API דאָקומענטאַציע זאָל אויך זיין באַגרענעצט צו יענע דעוועלאָפּערס וואָס זענען בארעכטיגט צו נוצן די API.
בעת די אַפּליקאַציע בויען און טעסטינג פאַסעס, זאָלן דעוועלאָפּערס ויסמיידן צו נוצן פּראָדוקציע דאַטן אויף אַנטוויקלונג אָדער סtagפארבעסערטע ווערסיעס פון דער אפליקאציע צו פארמיידן דאטן ליקס. ווען נייע ווערסיעס פון APIs ווערן ארויסגעגעבן, זאל די DevSecOps מאַנשאַפֿט דורכפירן א ריזיקע אנאליז צו באשטימען דעם בעסטן צוגאנג צו פארבעסערן אפליקאציעס צו נוצן די פארבעסערונגען.tagע פון ​​פארגרעסערטע זיכערהייט.
ווי קען OpenText העלפֿן?
אָרגאַניזאַציעס קענען פאַרוואַלטן, מאָניטאָרירן, זיכערן און דאָקומענטירן זייער API באַניץ ניצנדיק דעם OpenTextTM Secure API Manager, וואָס ערלויבט אַפּליקאַציע-זיכערהייט טימז צו האַלטן אַן אַרויף-צו-דאַטע אינווענטאַר פון API אַסעץ. OpenText Secure API Manager גיט אַן אויטאָריטעטיוו רעפּאָזיטאָרי וווּ דיין DevSecOps מאַנשאַפֿט קען סטאָרירן און פאַרוואַלטן אַלע די APIs געניצט דורך דער אָרגאַניזאַציע, וואָס אַלאַוז אַן גרינג-צו-פאַרוואַלטן לעבן ציקל פון API אַנטוויקלונג ביז ריטייערמאַנט. די ווייכווארג העלפּס פֿאַרבעסערן העסקעם מיט רעגולאַציעס און לייסענסינג דורך דערלויבן דיטיילד אַנאַליטיקס.
API10:2023–נישט זיכערע קאָנסומאַציע פֿון APIs
וואָס איז עס?
מיטן וואקסנדיקן באניץ פון אייגענער וואָלקן אינפראַסטרוקטור צו שאַפֿן אַפּליקאַציעס, זענען APIs געוואָרן דער פונקט פון אינטעגראַציע צווישן אַפּליקאַציע קאָמפּאָנענטן. אָבער, די זיכערהייט שטעלונג פון דריט-פּאַרטיי באַדינונגען וואָס מען צוטריט דורך APIs איז זעלטן קלאָר, וואָס ערלויבט אַטאַקירער צו באַשטימען אויף וועלכע באַדינונגען אַן אַפּליקאַציע פֿאַרלאָזט זיך און צי איינע פון ​​די באַדינונגען האָט זיכערהייט שוואַכקייטן. דעוועלאָפּערס טענדירן צו פֿאַרלאָזן זיך אויף די ענדפּונקטן וואָס זייער אַפּליקאַציע אינטעראַקטירט אָן וועריפֿיצירן די עקסטערנע אָדער דריט-פּאַרטיי APIs. די אומזיכערע קאָנסומאַציע פון ​​APIs פֿירט אָפֿט צו דער אַפּליקאַציע'ס פֿאַרלאָז אויף באַדינונגען וואָס האָבן שוואַכערע זיכערהייט רעקווייערמענץ אָדער פֿעלט גרונטלעכע זיכערהייט פֿאַרהאַרטונג, אַזאַ ווי אינפוט וואַלידאַציע.
וואָס מאַכט אַן אַפּליקאַציע שוואַך?
דעוועלאָפּערס טענדירן צו צוטרויען דאַטן באַקומען פון דריט-פּאַרטיי APIs מער ווי באַניצער אינפֿאָרמאַציע, כאָטש די צוויי קוועלער זענען אין עסענץ גלייך פֿאַר אַ מאָטיווירטן אַטאַקער. צוליב דעם אומרעכטן צוטרוי, פֿאַרלאָזן זיך דעוועלאָפּערס אין עסענץ אויף שוואַכערע זיכערהייט סטאַנדאַרדן צוליב אַ מאַנגל אין אינפֿאָרמאַציע וואַלידאַציע און סאַניטיזאַציע.
אומזיכערע קאנסומאציע פון ​​APIs קען פאסירן אויב די אפליקאציע:
ניצט אדער פארברויכט אנדערע APIs ניצנדיק נישט-פארשליסטע קאמוניקאציעס,
· קען נישט וואַלידירן און סאַניטיזירן דאַטן פֿון אַנדערע APIs אָדער סערוויסעס,
· ערלויבט רידערעקשאַן אָן קיין זיכערהייט קאָנטראָלס, אָדער

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

21/23

אויב דער דעוועלאָפּער קאָדירט נישט זיכערהייט טשעקס אין זייער אַפּליקאַציע צו וועריפיצירן קיין דאַטן וואָס ווערן צוריקגעגעבן דורך די API ענדפּוינט, וועט זייער אַפּליקאַציע נאָכפאָלגן די רידירעקט און שיקן סענסיטיווע מעדיצינישע אינפֿאָרמאַציע צום אַטאַקירער.
די OWASP API זיכערהייט טאָפּ-10 איז קריטיש פֿאַר וואָלקן-געבוירענע דעוועלאָפּערס וואָס בויען APIs. אָבער, אַדרעסירן געוויינטלעכע אַפּליקאַציע וואַלנעראַביליטיז ווי SQL ינדזשעקשאַן, דאַטן ויסשטעלן, און זיכערהייט מיסקאָנפֿיגוראַציע זאָל נעמען פּריאָריטעט, ווייַל זיי ווערן אָפט אויסגענוצט דורך סייבער טרעץ. די API זיכערהייט טאָפּ-10 איז אַ וויכטיקער טייל פון זיכערער ווייכווארג אַנטוויקלונג אָבער זאָל זיין צווייטיק צו אַדרעסירן אַלגעמיינע אַפּליקאַציע וואַלנעראַביליטיז.

· פאַרפעלט צו באַגרענעצן רעסורסן קאַנסאַמשאַן ניצן טרעשאָולדז און טיימאַוץ.
אין אַן עקסampלויטן OWASP באריכט, קען אן API וואס אינטעגרירט זיך מיט א דריט-פארטיי סערוויס פראוויידער צו האלטן סענסיטיווע באניצער מעדיצינישע אינפארמאציע שיקן פריוואטע דאטן דורך אן API ענדפונקט. אטאקירער קענען קאמפראמיטירן דעם דריט-פארטיי API האוסט צו רעאגירן צו צוקונפטיגע פארלאנגען מיט א 308 פערמאנענט רידירעקט: HTTP/1.1 308 פערמאנענט רידירעקט
לאקאציע: https://attacker.com/
אויב דער דעוועלאָפּער קאָדירט נישט זיכערהייט טשעקס אין זייער אַפּליקאַציע צו וועריפיצירן קיין דאַטן וואָס ווערן צוריקגעגעבן דורך די API ענדפּוינט, וועט זייער אַפּליקאַציע נאָכפאָלגן די רידירעקט און שיקן סענסיטיווע מעדיצינישע אינפֿאָרמאַציע צום אַטאַקירער.
אַטאַק עקסamples
אין דעצעמבער 2021, האט א סעט פון שוואכקייטן אין א געווענליך גענוצטן אפען-קוואל ווייכווארג קאמפאנענט, Log4J, ערלויבט אן אטאקירער צו צושטעלן אומגערייניקטע אינפוט, ווי למשל אן ענקאדירטן סקריפט, און ניצן שוואכע ווערסיעס פון Log4J צו אויספירן דעם סקריפט אויפן סערווער. די פראבלעם הינטער דער Log4J שוואכקייט האט זיך אנגעהויבן אין א מאנגל אין אינפוט וואלידאציע, ספעציפיש דעם דורכפאל צו דורכפירן זיכערהייט קאנטראלן אויף דעסעריאליזירטע באניצער-געגעבענע דאטן. דורך שיקן סעריאליזירטן בייזוויליגן קאוד, קענען אטאקירער אויסניצן די שוואכקייט און אויספירן אן אטאקע אויף א סערווער מיט דער שוואכקייט. דעוועלאפערס זאלן קאנטראלירן אלע אינפוט וואס ווערן צוגעשטעלט דורך דריט-פארטיי APIs און אנדערע עקסטערנע קוועלער.27
ווי אזוי קען מען דאס פארמיידן פון א דעוועלאפער?
דעוועלאָפּערס זאָלן דורכפירן דיו דילידזשענס ווען זיי עוואַלויִרן סערוויס פּראַוויידערז, אַססעססירן זייער API זיכערהייט שטאַנד און ימפּלאַמענטירן שטרענגע זיכערהייט קאָנטראָלן. אין דערצו, דעוועלאָפּערס זאָלן באַשטעטיקן אַז אַלע קאָמוניקאַציע צו דריט-פּאַרטיי APIs און פון דריט-פּאַרטייען צו די אָרגאַניזאַציעס APIs נוצן אַ זיכער קאָמוניקאַציע קאַנאַל צו פאַרמייַדן סנופּינג און ריפּליי אַטאַקס.
ווען מען באקומט דאטן פון עקסטערנע באניצער און מאשינען, זאלן די אינפוטס שטענדיג ווערן גערייניקט צו פארמיידן די אומאפזיכטליכע אויספירונג פון קאוד. צום סוף, פאר וואלקן סערוויסעס אינטעגרירט דורך APIs, זאלן ערלויבטע ליסטעס ווערן גענוצט צו פארשפארן די אדרעס פון די אינטעגרירטע לייזונג, אנשטאט בלינדערהייט צו דערלויבן יעדע IP אדרעס צו רופן די אפליקאציע'ס API.
ווי קען OpenText העלפֿן?
דורך קאמבינירן די סטאטישע קאוד און API אנאליז אייגנשאפטן פון OpenText Static Application Security Testing מיט די ראנטיים טשעקס פון די OpenText Dynamic Application Security Testing (DAST) סוויט, קענען DevSecOps טימז קאנטראלירן זייער אפליקאציע'ס באניץ פון דריט-פארטיי APIs און טעסטן געוויינלעכע אטאקע טיפן. צו געפינען אומזיכערע APIs, קען OpenText Secure API Manager בויען א רעפאזיטארי פון אלע APIs גערופן דורך די סיסטעם, ווי אויך וועלכע עקסטערנע אפליקאציעס קענען נוצן אייער אפליקאציע'ס APIs.
27 מייקראָסאָפֿט סאַקאָנע אינטעליגענץ. גיידליינז פֿאַר פאַרהיטן, דעטעקטירן און זוכן עקספּלויטאַציע פון ​​די לאָג4דזש 2 וואַלנעראַביליטי. מייקראָסאָפֿט. Web בלאַט. דערהייַנטיקט: 10טן יאַנואַר 2022.

דעוועלאָפּער גייד צו די 2023 OWASP טאָפּ 10 פֿאַר API זיכערהייט

22/23

וואו צו גיין ווייַטער
דאָ זענען די פּראָדוקטן וואָס ווערן דערמאָנט אין דעם דאָקומענט: OpenText אַפּליקאַציע זיכערהייט >
OpenText סטאַטישע אַפּליקאַציע זיכערהייט טעסטינג >
OpenText דינאמישע אַפּליקאַציע זיכערהייט טעסטינג >
OpenText זיכער API מענעדזשער >
נאָך רעסורסן OWASP Top 10 API זיכערהייט ריסקס – 2023 >
גאַרטנער מאַגיש קוואַדראַנט פֿאַר אַפּליקאַציע זיכערהייט טעסטינג >
אָפּענטעקסט אַפּפּליקאַטיאָן זיכערהייַט Webאינאַר סעריע >

די API זיכערהייט טאָפּ-10 איז נישט גענוג!
פֿאַר וואָלקן-געבוירענע דעוועלאָפּערס וואָס ספּעציפֿיש פֿאָקוסירן אויף שאַפֿן APIs צו פאָרשלאָגן באַדינונגען צו אַנדערע טיילן פֿון אַן אַפּליקאַציע, אינערלעכע באַניצער, אָדער פֿאַר גלאָבאַלן קאַנסאַמשאַן, איז די OWASP API זיכערהייט טאָפּ 10 רשימה אַ וויכטיק דאָקומענט צו לייענען און פֿאַרשטיין.
אבער, די OWASP API זיכערהייט טאָפּ 10 איז נישט קיין זעלבשטענדיק דאקומענט. דעוועלאָפּערס דאַרפן אויך זיכער מאַכן אַז זיי נוצן אַנדערע קוועלער פון בעסטע פּראַקטיקעס, ווי די OWASP טאָפּ 10, וואָס זענען באַטייַטיק צו זייער איצטיקע אַפּליקאַציע און אַרכיטעקטור. געוויינטלעכע אַפּליקאַציע וואַלנעראַביליטיז - SQL ינדזשעקשאַן, דאַטן ויסשטעלן, און זיכערהייט מיסקאָנפיגוראַציע - פאָרזעצן צו זיין געוויינטלעכע וועגן ווי סייבער סאַקאָנע גרופּעס קענען קאָמפּראָמיטירן קאָרפּאָראַטיווע אינפראַסטרוקטור און זאָל זיין געשווינד רימידיייטיד. אין דערצו, עטלעכע API-באַזירט אַפּליקאַציעס, ווי מאָביל אַפּפּס, דאַרפן אַנדערע אַפּפּס פֿאַרהאַרטונג טריט ווי אַ זעלבשטענדיק. web-אַפּ, און אַנדערש ווי וואָס קען זיין פארלאנגט פֿאַר קאָנעקט און IoT דעוויסעס. בכלל, די API זיכערהייט טאָפּ 10 רשימה איז וויכטיק, אָבער עס בלייבט בלויז אַ פאַסעט פון די קוילעלדיק זיכער ווייכווארג אַנטוויקלונג לעבן ציקל. די רשימה, און די OWASP טאָפּ 10 רשימה, זאָל זיין געניצט אין קאַנדזשאַנגקשאַן מיט קיין אנדערע באַטייַטיק סטאַנדאַרדס און בעסטער פּראַקטיסיז וואָס זענען פארלאנגט פֿאַר די לייזונג אונטער אַנאַליז.
מסקנא
ווי אַפּליקאַציעס מער און מער פאַרלאָזן זיך אויף וואָלקן אינפראַסטרוקטור, web אַפּליקאַציע פּראָגראַמירן אינטערפייסיז (APIs) זענען געוואָרן די יסוד פון אינטערנעט. פירמעס האָבן טיפּיש הונדערטער, אויב נישט טויזנטער, API ענדפּונקטן אין זייער סביבה, וואָס דראַמאַטיש פאַרגרעסערט זייער אַטאַק ייבערפלאַך און שטעלט אַפּליקאַציעס אויס צו אַ פאַרשיידנקייט פון שוואַכקייטן.
די ארויסגעבונג פון דער 2023 OWASP API זיכערהייט טאָפּ 10 ליסטע איז אַ גוטער אָנהייבפּונקט פֿאַר קאָמפּאַניעס און דעוועלאָפּערס זיך אויסצולערנען וועגן די ריזיקעס פון API-באַזירטער אינפראַסטרוקטור און צו אָפּשאַצן זייערע אייגענע אַפּליקאַציעס. צוזאַמען מיט דער מער באַקאַנטער אַפּליקאַציע זיכערהייט טאָפּ-10 ליסטע, קען די פּאָר ראַנגקינגס העלפֿן DevSecOps טימז צו אַנטוויקלען אַ האָליסטישן צוגאַנג צו דער אַלגעמיינער זיכערהייט פון זייערע אַפּליקאַציעס.
DevSecOps טימז דאַרפֿן זײַן באַוואוסטזיניק וועגן די זיכערהייט אימפּליקאַציעס פֿון APIs, ווי אַזוי צו רעדוצירן די וואַלנעראַביליטיז און זיכערהייט שוואַכקייטן פֿון אַן אימפּלעמענטאַציע, און ווי אַזוי צו פֿאַרהאַרטן זייער אַנטוויקלונג פּייפּליין און דעם רעזולטאַט API סערווער כּדי צו מאַכן עס שווערער פֿאַר אַטאַקערס צו קאָמפּראָמיטירן אַן אַפּליקאַציע דורך אירע APIs.

דרוקרעכט © 2025 עפֿן טעקסט · 04.25 | 262-000177-001

דאָקומענטן / רעסאָורסעס

OpenText 262-000177-001 OWASP Top 10 פֿאַר API זיכערהייט [pdfבאַניצער מאַנואַל
262-000177-001, 262-000177-001 OWASP טאָפּ 10 פֿאַר API זיכערהייט, 262-000177-001, OWASP טאָפּ 10 פֿאַר API זיכערהייט, פֿאַר API זיכערהייט, API זיכערהייט, זיכערהייט

רעפערענצן

לאָזן אַ באַמערקונג

דיין בליצפּאָסט אַדרעס וועט נישט זיין ארויס. פארלאנגט פעלדער זענען אנגעצייכנט *