什么是 API 滥用，谁会这样做？

技术安全也是如此——有时会出现糟糕的设计和糟糕的代码，有时软件的结构，即使是根据适当的规范设计的，也为滥用该技术提供了正确的杠杆，API滥用很常见，并不一定是因为 API 本身设计不佳。出于积极的原因，API 具有有意且可预测的设计结构。同样的原因也让攻击者有机会滥用 API。

OWASP 这样定义软件滥用：

“创建误用和滥用案例以滥用或利用软件功能中控件的弱点来攻击应用程序。使用应用程序的滥用案例模型，作为识别直接或间接利用滥用场景的具体安全测试的燃料。”

简而言之，滥用案例模型在某种程度上是威胁建模。如果在 API 设计的威胁建模阶段没有考虑有人在其上执行虚拟锁定端口的想法，并且没有添加补偿控制，那么这些 API“锁”可能会被选中。

这里有一个重要说明：虽然应该遵循安全编码，但开发人员理所当然地更关心适当的开发而不是严格的安全测试。不要将所有安全责任都推给开发人员；包括一个整体的组织计划，以提高安全性、灵活性和测试。 

至少有三种类型的应用程序和 API 滥用者：

1. 恶意的

• 其目的是禁用、欺诈和破坏。我正要写，“这是要关注的主要问题。” 但在 API 滥用这个话题上，所有的滥用都需要考虑，因为无论出于何种原因，API 最终都需要保持安全和功能。

2. 故意的（非恶意的）

• 演员的目标主要是测试极限或制造麻烦。攻击者可能是玩“乐子”的脚本小子、黑客行动主义者（不是恶意的一方），或者采取某种形式的人

3. 无意的（非恶意的）

• 也许这个人正在进行渗透测试并且无意中造成了中断，或者漏洞赏金猎人抓取了敏感数据的屏幕截图，或者安全研究人员没有意识到测试会导致那种麻烦或发现了一个漏洞。

API滥用案例及预防

以下是一些常见的 API 滥用案例，以及一些现实生活中的例子。

破损对象级别授权 (BOLA)

由于 BOLA 本身约占所有 API 攻击的 40%，因此它是开始该列表的好方法。API 创建了一个广泛的访问控制攻击面，因为它们处理对象标识符。 

一些预防 BOLA 的方法是：

• 实施依赖于用户策略的授权机制，验证登录用户是否有权执行请求的操作。

• 使用随机和不可预测的值作为记录 ID 的 GUID。

• 编写评估授权的测试。

分布式拒绝服务 (DDoS) – Cloudflare 与 Mantis 僵尸网络

好消息是，2022 年 6 月，Cloudflare 阻止了令人印象深刻的 HTTPS DDoS 攻击。根据他们的文章，“在不到 30 秒的时间内，这个僵尸网络从 121 个国家/地区的 1,500 多个网络生成了超过 2.12 亿个 HTTPS 请求。”  

不是每个人都能阻止如此大规模的攻击，但公司可以采取一些措施来阻止 DDoS 攻击： 

• 流量分析

• 速率限制（例如，每个客户端/资源的请求数、请求负载大小）。

• 自动缩放资源（确保为阈值报告打开警报）。

安全配置错误

应用程序中安全设置的不当配置可能会导致通过帐户接管(ATO) 的方式完全妥协。 

防止这种情况的几种方法是：

• 盘点和管理所有 API，留意影子 API 和僵尸 API。

• 从应用程序扩展到所涉及的 API 的数据治理。

过多的数据暴露

这种威胁通常被认为是通过开放接口或 API意外泄露机密信息。但是故意披露呢？

在 Venmo 中，交易在设计上和默认情况下都是公开的——正如他们的口号所说：“快速、安全、社交支付。”这种开放策略在 2019 年导致了意想不到的数据抓取问题，就像在不久的过去一样，有人抓取了 2 亿 Venmo 用户的私人信息。此外，还发现了美国总统拜登的 Venmo 账户。 

发现该漏洞的研究人员认为，“如果我是攻击者，并且心中有一个特定的目标，我可以从这些数据中收集到关于那个人的什么信息？对我有用吗？答案是肯定的。”

数据泄露，无论有意还是无意，在被滥用时都可能引发国家安全问题。

减少或消除数据泄露的两种方法是：

1. 在 API 而非客户端级别执行信息过滤。

2. 避免在功能不需要时发送敏感信息。

注射

这种恶意代码（不仅仅是 SQLi）会修改从一个程序发送到另一个程序的数据，并且经常被犯罪黑客用来获取对私人数据的访问权限。

以下是一些防止注入的方法：

1. 参数化查询

2. 上下文感知安全性，可在时间线上查看所有 API 活动。

3. 用质量认证和授权取代过时和不安全的认证方法。

4. 全面的日志记录、监控和警报（缺少的是OWASP 的十大 API之一）。

5. 有助于数据治理的数据分类——了解 API 以及通过它们传输的数据。

还有什么可以做的？

有大量资源可用于 API 安全。开始 API 保护的最流行来源可能是 OWASP API 十大漏洞，但有十多个漏洞——人们还没有记录前 10,000 个漏洞。让你的下一次测试比上一次更好。

一个重要的重点不仅仅是让不良行为者远离，而是保持您的组织是一家可靠的公司的声誉，客户可以安全地与之开展业务。 

本文由本站原创或投稿者首发,转载请注明来源！

本文链接：http://www.ziti66.com/net/html/172.html