Underprotected APIs

G

Ganjs

New Member
23/10/2017
0
1 bài viết
Underprotected APIs
G
Xin chào cả nhà ạ, em là thành viên mới.
Số là dạo gần đây em bị giao tìm hiểu về Underprotected APIs trên owasp để làm 1 buổi seminar, mà toàn tài liệu tiếng anh, trong khi trình tiếng anh của em thì cùi bắp ko tả. Em có một số câu hỏi muốn hỏi ạ:
1 là về API ạ, có khá nhiều bài viết về API trên mạng nhưng em chỉ hiểu đơn giản là API là 1 cầu nối giữa client và server, người dùng gửi thông tin qua giao diện trên client đến API, rồi API sẽ lấy thông tin trên server dựa theo những dữ liệu mà người dùng nhập vào, như vậy có đúng ko ạ ?
2 là theo như em đọc hiểu thì phương pháp tấn công là hacker có thể theo dõi liên lạc của khách hàng và ứng dụng/website khi thông qua API, hoặc kiểm tra cilent code. Nhưng mà em chưa hiểu lắm, nghĩa là hacker có thể xâm nhập vào khi mình gửi thông tin lên API hay như nào ạ ?
Lần đầu đặt câu hỏi, nếu có sai sót ở đâu mong mọi người bỏ qua ạ ...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
krone
Ganjs đã viết:
Xin chào cả nhà ạ, em là thành viên mới.
Số là dạo gần đây em bị giao tìm hiểu về Underprotected APIs trên owasp để làm 1 buổi seminar, mà toàn tài liệu tiếng anh, trong khi trình tiếng anh của em thì cùi bắp ko tả. Em có một số câu hỏi muốn hỏi ạ:
1 là về API ạ, có khá nhiều bài viết về API trên mạng nhưng em chỉ hiểu đơn giản là API là 1 cầu nối giữa client và server, người dùng gửi thông tin qua giao diện trên client đến API, rồi API sẽ lấy thông tin trên server dựa theo những dữ liệu mà người dùng nhập vào, như vậy có đúng ko ạ ?
2 là theo như em đọc hiểu thì phương pháp tấn công là hacker có thể theo dõi liên lạc của khách hàng và ứng dụng/website khi thông qua API, hoặc kiểm tra cilent code. Nhưng mà em chưa hiểu lắm, nghĩa là hacker có thể xâm nhập vào khi mình gửi thông tin lên API hay như nào ạ ?
Lần đầu đặt câu hỏi, nếu có sai sót ở đâu mong mọi người bỏ qua ạ ...
Nhấn để mở rộng...

Thứ nhất: là API ko đơn thuần là cầu nối giớ client và server, API còn là chuyển tiếp giữa server và server, giữa application với application. Hiểu nôm na có nghĩa là bạn muốn trao đổi một tài nguyên nào đó giữa bạn với một vendor thì vendor đó cung cấp một API cho phép bạn gửi lên các query, từ đó query đó gởi đến server với những xác thực cơ bản; sau đó server trả về các thành phần tương thích với query mà bạn gửi. Bạn có thể xem video clip sau để hiểu thêm cơ bản về API:

Thứ hai: bạn cũng có thể hiểu là API cũng là một application, nhưng không phải là application. API cũng sẽ có thể sinh ra lỗi nếu nhà phát triển không chú ý đến bảo mật cho API. API có thể bị lỗi từ nhiều hướng như query, json, authtoken, csrftoken, css,...etc. Vậy thì làm sao để tấn công được API. Đương nhiên bạn phải hiểu được API đó hoạt động như thế nào, gửi nhận dữ liệu ra sao; qua đó tìm hiểu xem thử các lỗ hổng có thể tồn tại.
Một ví dụ điển hình trong REST API của wordpress cũng từng bị lỗi ở phiên bản 4.7.5 bạn có thể tham khảo thêm ở đây: Content Injection Vulnerability in WordPress
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Ganjs
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bên trên