OzzTech - En Önemli 3 API Güvenlik Açığı Uygulamalar Neden Siber Saldırganlar Tarafından Kullanılıyor?

En Önemli 3 API Güvenlik Açığı Uygulamalar Neden Siber Saldırganlar Tarafından Kullanılıyor?

En Önemli 3 API Güvenlik Açığı: Uygulamalar Neden Siber Saldırganlar Tarafından Kullanılıyor

Cequence'teki bilgisayar korsanı Jason Kent, siber suçluların uygulamaları nasıl hedeflediğini anlatıyor.

Uygulama programlama arayüzleri (API'ler), günümüz uygulamalarını bir arada tutan yapıştırıcı haline geldi. Hala yataktayken mutfak ışıklarını açmak için bir API var. Ev hoparlörlerinizde çalan şarkıyı değiştirmek için bir API var. Uygulama ister mobil cihazınızda, ister eğlence sisteminizde veya garaj kapınızda olsun, geliştiricilerin uygulamaların çalışmasını sağlamak için kullandıkları API'lerdir.

Siber saldırganların uygulamalara "sahip olmak" için hedeflediği üç ana güvenlik açığı türü vardır. Ama önce, API'leri böylesine bir güvenlik sorunu yapan şeyin ne olduğuna dair biraz arka plana bakalım.

API'ler, bir URL'nin çalışabileceği şekilde çalışabilir. Bir web tarayıcısına “www.example[.]com” yazmak, example.com'dan bir yanıt alınmasını sağlayacaktır. Favori şarkınızı arayın ve URL çubuğunda şunu göreceksiniz: “www.example.com/search?{myfavoritesong}.”

Sayfa sonucu, arama bulgularınızı size sunmak için dinamik olarak oluşturulmuştur. Mobil bankacılık uygulamanız, adınızı, hesap numaranızı ve hesap bakiyenizi alan API ile aynı şekilde çalışır ve önceden oluşturulmuş sayfalardaki alanları buna göre doldurur. API'ler web uygulamalarına benzer özelliklere sahip olsa da saldırılara karşı çok daha hassastırlar; güvenlik kontrolleri dahil tüm işlemi içerirler ve genellikle doğrudan bir arka uç hizmetiyle iletişim kurarlar.

Artan API Güvenlik Açıkları: Geçmiş Kendini Tekrar Ediyor

1990'ların sonlarında insanlar, genellikle bir arama kutusuna veya oturum açma alanına tek bir alıntı (') işareti bırakabileceğinizi ve uygulamanın bir veritabanı hatasıyla yanıt vereceğini anladılar. SQL veritabanı sözdizimini anlamak, güvenlik açığı bulunan bir uygulamanın, potansiyel olarak üzerinde tam kontrole sahip olabilecek, tamamen açık bir uygulama olduğu anlamına gelir. Ve bir kez bulunduğunda, SQL güvenlik açıkları sıklıkla saldırıya uğrar.

Bu, uygulama güvenliğinde sonsuza kadar yaşadığımız sorunları yansıtıyor: Giriş doğrulama. Uygun işlev ve güvenlik testleri olmadan API'ler mükemmel bir saldırı noktası haline gelebilir. Uygulama tarafından güvenilen, yüksek hızlı, büyük veri alışverişi mümkün olan API'ler, bunları kullanan veya kullanım için geliştiren herhangi bir kuruluş için endişe kaynağıdır.

En Önemli 3 API Güvenlik Açığı

Uygulama güvenliği pazarındaki müşterilerle yaptığım çalışmalarda ve Open Web Application Security Project (OWASP) topluluğuna uzun süredir dahil olduğumda, genellikle API güvenlik açığı istismarlarını görüyorum. İşte en yaygın türlerden üçü:

  1. Bozuk Nesne Düzeyinde Yetkilendirme (BOLA): Meslekten olmayan kişinin BOLA tanımı, bir saldırganın bir erişim belirtecini yeniden kullanarak yetkisiz bir eylem gerçekleştirmesine olanak tanıyan "bir nesne erişim isteğinin yetersiz doğrulaması"dır. Peloton güvenlik olayı birçok yeni BOLA bir saldırganın başka bir kullanıcının profilinde, özel işaretli şey dahil verilerinin hepsini görüntüleyebilir. Peloton olayının ticari etkisi önemliydi ve muhtemelen geliştirmeden operasyonlara, pazarlama ve halkla ilişkilere kadar her iş grubunu etkiledi.
  2. Bozuk Kullanıcı Kimlik Doğrulaması: " Kimlik doğrulama mekanizmalarındaki uygulama kusurları" olarak tanımlanan bu hatalar, saldırganların meşru kullanıcıları taklit etmesine izin verir. Burada iki yaygın istismar türü akla geliyor. İlki, otomatik botlar tarafından yürütülen kimlik bilgisi doldurmadır. Bozuk bir kullanıcı kimlik doğrulama hatası olan bir oturum açma API'si bulmak, otomatik bir saldırı için mükemmel bir hedeftir. Bu kusurun daha karmaşık bir kullanımı, API'nin nasıl çalıştığını belirlemek içindir. “[email protected] /” şifresinin bir kullanıcı adı/şifre kombinasyonunu girersem ve uygulama “geçersiz şifre” diyorsa, bunun geçerli bir kullanıcı adı olduğunu biliyorum. Saldırgan, bu veri noktasını, kimlik bilgisi doldurma (veya başka bir saldırı türü) başarı şansını artırmak için kullanır.
  3. Uygun Olmayan Varlık Yönetimi : Bu API kusuru, "yetersiz ortam ayrımı ve yönetiminin" bir sonucudur ve saldırganların güvenliği düşük API uç noktalarına erişmesine olanak tanır. Son John Deere güvenlik olayında , John Deere iş ortağı programının bir parçası olan bir geliştirici API'si, üretim verilerine redaksiyon olmadan erişerek, [potansiyel olarak] John Deere müşterilerinin traktör devinin Green Star sistemini kullananları ifşa etti. Bariz olanı ifade eden kusur, iki ortam arasındaki ayrımın olmamasından kaynaklanıyordu. Bu kategoriye giren ek boşluklar, bir geliştirme API'sindeki hassas verileri izlememeyi ve kullanımdan kaldırılmış API'leri çevrimiçi/açıkta tutmayı içerir.

Kuruluşunuzu siber saldırılardan korumak için Ozztech Bilgi Güvenliği Teknolojileri ile iletişime geçebilirsiniz !


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.