Cequence’teki bilgisayar korsanı Jason Kent, siber suçluların uygulamaları nasıl hedeflediğini anlatıyor.
Uygulama programlama arayüzleri (API’ler), günümüz uygulamalarını bir arada tutan yapıştırıcı haline geldi. Hala yataktayken mutfak ışıklarını açmak için bir API var. Ev hoparlörlerinizde çalan şarkıyı değiştirmek için bir API var. Uygulama ister mobil cihazınızda, ister eğlence sisteminizde veya garaj kapınızda olsun, geliştiricilerin uygulamaların çalışmasını sağlamak için kullandıkları API’lerdir.
Siber saldırganların uygulamalara “sahip olmak” için hedeflediği üç ana güvenlik açığı türü vardır. Ama önce, API’leri böylesine bir güvenlik sorunu yapan şeyin ne olduğuna dair biraz arka plana bakalım.
API’ler, bir URL’nin çalışabileceği şekilde çalışabilir. Bir web tarayıcısına “www.example[.]com” yazmak, example.com’dan bir yanıt alınmasını sağlayacaktır. Favori şarkınızı arayın ve URL çubuğunda şunu göreceksiniz: “www.example.com/search?{myfavoritesong}.”
Sayfa sonucu, arama bulgularınızı size sunmak için dinamik olarak oluşturulmuştur. Mobil bankacılık uygulamanız, adınızı, hesap numaranızı ve hesap bakiyenizi alan API ile aynı şekilde çalışır ve önceden oluşturulmuş sayfalardaki alanları buna göre doldurur. API’ler web uygulamalarına benzer özelliklere sahip olsa da saldırılara karşı çok daha hassastırlar; güvenlik kontrolleri dahil tüm işlemi içerirler ve genellikle doğrudan bir arka uç hizmetiyle iletişim kurarlar.
Artan API Güvenlik Açıkları: Geçmiş Kendini Tekrar Ediyor
1990’ların sonlarında insanlar, genellikle bir arama kutusuna veya oturum açma alanına tek bir alıntı (‘) işareti bırakabileceğinizi ve uygulamanın bir veritabanı hatasıyla yanıt vereceğini anladılar. SQL veritabanı sözdizimini anlamak, güvenlik açığı bulunan bir uygulamanın, potansiyel olarak üzerinde tam kontrole sahip olabilecek, tamamen açık bir uygulama olduğu anlamına gelir. Ve bir kez bulunduğunda, SQL güvenlik açıkları sıklıkla saldırıya uğrar.
Bu, uygulama güvenliğinde sonsuza kadar yaşadığımız sorunları yansıtıyor: Giriş doğrulama. Uygun işlev ve güvenlik testleri olmadan API’ler mükemmel bir saldırı noktası haline gelebilir. Uygulama tarafından güvenilen, yüksek hızlı, büyük veri alışverişi mümkün olan API’ler, bunları kullanan veya kullanım için geliştiren herhangi bir kuruluş için endişe kaynağıdır.
En Önemli 3 API Güvenlik Açığı
Uygulama güvenliği pazarındaki müşterilerle yaptığım çalışmalarda ve Open Web Application Security Project (OWASP) topluluğuna uzun süredir dahil olduğumda, genellikle API güvenlik açığı istismarlarını görüyorum. İşte en yaygın türlerden üçü:
- Bozuk Nesne Düzeyinde Yetkilendirme (BOLA): Meslekten olmayan kişinin BOLA tanımı, bir saldırganın bir erişim belirtecini yeniden kullanarak yetkisiz bir eylem gerçekleştirmesine olanak tanıyan “bir nesne erişim isteğinin yetersiz doğrulaması”dır. Peloton güvenlik olayı birçok yeni BOLA bir saldırganın başka bir kullanıcının profilinde, özel işaretli şey dahil verilerinin hepsini görüntüleyebilir. Peloton olayının ticari etkisi önemliydi ve muhtemelen geliştirmeden operasyonlara, pazarlama ve halkla ilişkilere kadar her iş grubunu etkiledi.
- Bozuk Kullanıcı Kimlik Doğrulaması: ” Kimlik doğrulama mekanizmalarındaki uygulama kusurları” olarak tanımlanan bu hatalar, saldırganların meşru kullanıcıları taklit etmesine izin verir. Burada iki yaygın istismar türü akla geliyor. İlki, otomatik botlar tarafından yürütülen kimlik bilgisi doldurmadır. Bozuk bir kullanıcı kimlik doğrulama hatası olan bir oturum açma API’si bulmak, otomatik bir saldırı için mükemmel bir hedeftir. Bu kusurun daha karmaşık bir kullanımı, API’nin nasıl çalıştığını belirlemek içindir. “[email protected] /” şifresinin bir kullanıcı adı/şifre kombinasyonunu girersem ve uygulama “geçersiz şifre” diyorsa, bunun geçerli bir kullanıcı adı olduğunu biliyorum. Saldırgan, bu veri noktasını, kimlik bilgisi doldurma (veya başka bir saldırı türü) başarı şansını artırmak için kullanır.
- Uygun Olmayan Varlık Yönetimi : Bu API kusuru, “yetersiz ortam ayrımı ve yönetiminin” bir sonucudur ve saldırganların güvenliği düşük API uç noktalarına erişmesine olanak tanır. Son John Deere güvenlik olayında , John Deere iş ortağı programının bir parçası olan bir geliştirici API’si, üretim verilerine redaksiyon olmadan erişerek, [potansiyel olarak] John Deere müşterilerinin traktör devinin Green Star sistemini kullananları ifşa etti. Bariz olanı ifade eden kusur, iki ortam arasındaki ayrımın olmamasından kaynaklanıyordu. Bu kategoriye giren ek boşluklar, bir geliştirme API’sindeki hassas verileri izlememeyi ve kullanımdan kaldırılmış API’leri çevrimiçi/açıkta tutmayı içerir.
Kuruluşunuzu siber saldırılardan korumak için Ozztech Bilgi Güvenliği Teknolojileri ile iletişime geçebilirsiniz !