t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Top 3 lỗi bảo mật nghiêm trọng phổ biến trên API
Ngày nay, Application programming interfaces (API) đã trở nên rất phổ biến và là chất kết dính các ứng dụng lại với nhau. Bạn có thể sử dụng API để bật đèn bếp khi vẫn còn trên giường hay thay đổi bài hát đang phát trên loa trong nhà của mình. Mới đây, Jason Kent - hacker tại Cequence - đã chỉ ra top 3 lỗ hổng API thường thấy trong các vụ khai thác lỗ hổng API: Ủy quyền cấp đối tượng (BOLA), xác thực, quản lý thông tin người dùng.
Lỗi ủy quyền cấp đối tượng (BOLA): Theo định nghĩa, Bola tức là không đủ xác thực yêu cầu truy cập đối tượng. Điều này cho phép kẻ tấn công sử dụng lại mã thông báo để truy cập trái phép. Điển hình là sự cố bảo mật Peloton, khi mà kẻ tấn công đã xem tất cả dữ liệu, bao gồm bất kỳ thứ gì được đánh dấu là riêng tư, trong hồ sơ của người dùng khác.
Lỗi xác thực người dùng: đây là lỗi triển khai trên cơ chế xác thực, cho phép hacker tấn công mạo danh người dùng hợp pháp. Một API đăng nhập có lỗ hổng xác thực người dùng là mục tiêu hoàn hảo cho một cuộc tấn công tự động. Một cách sử dụng tinh vi hơn của lỗ hổng này là để do thám, xác định cách thức hoạt động của API.
Quản lý dữ liệu không phù hợp: lỗ hổng API này cho phép kẻ tấn công truy cập vào các endpoint - nơi mà API không được bảo mật. Trong sự cố gần đây của John Deere, thiếu sót nằm ở chỗ thiếu sự tách biệt giữa hai môi trường. Các lỗ hổng bổ sung thuộc danh mục này bao gồm việc không giám sát dữ liệu nhạy cảm trong API phát triển và giữ các API không dùng nữa trực tuyến.
Cách khắc phục sự cố: Năm 2021 liên tục xảy ra các sự cố bảo mật API. Lỗi API ảnh hưởng đến toàn bộ hoạt động kinh doanh và cả các nhà phát triển. OWASP đã xuất bản Top 10 API bảo mật và các API độc hại, bao gồm các API xấu trong một ứng dụng. Vì vậy việc biết được các lỗ hổng bảo mật và những gì có thể xảy ra là chìa khóa để giảm thiểu các rủi ro bị hacker ghé thăm.
Lỗi xác thực người dùng: đây là lỗi triển khai trên cơ chế xác thực, cho phép hacker tấn công mạo danh người dùng hợp pháp. Một API đăng nhập có lỗ hổng xác thực người dùng là mục tiêu hoàn hảo cho một cuộc tấn công tự động. Một cách sử dụng tinh vi hơn của lỗ hổng này là để do thám, xác định cách thức hoạt động của API.
Quản lý dữ liệu không phù hợp: lỗ hổng API này cho phép kẻ tấn công truy cập vào các endpoint - nơi mà API không được bảo mật. Trong sự cố gần đây của John Deere, thiếu sót nằm ở chỗ thiếu sự tách biệt giữa hai môi trường. Các lỗ hổng bổ sung thuộc danh mục này bao gồm việc không giám sát dữ liệu nhạy cảm trong API phát triển và giữ các API không dùng nữa trực tuyến.
Cách khắc phục sự cố: Năm 2021 liên tục xảy ra các sự cố bảo mật API. Lỗi API ảnh hưởng đến toàn bộ hoạt động kinh doanh và cả các nhà phát triển. OWASP đã xuất bản Top 10 API bảo mật và các API độc hại, bao gồm các API xấu trong một ứng dụng. Vì vậy việc biết được các lỗ hổng bảo mật và những gì có thể xảy ra là chìa khóa để giảm thiểu các rủi ro bị hacker ghé thăm.
Theo Threat post
Chỉnh sửa lần cuối bởi người điều hành: