📄️ Úvod do API zranitelností
Kategorie obsahuje nejčastější API zranitelností z roku 2023. Chraňte své API a předcházejte (nejen) nejčastějším zranitelnostem.
📄️ Porušení oprávnění na úrovni objektu
Každé API, které pracuje s objektem na základě obdrženého ID, by mělo implementovat autorizaci na úrovni objektu. Zranitelnost dále vede k neautorizovanému přístupu a manipulaci s daty, úniku informací nebo jejich zničení.
📄️ Selhání autentizace
Vhodně zabezpečené musí být nejen přihlašovací endpointy, ale i endpointy pro reset / zapomenuté heslo, nastavení 2FA a další. Ověřte, že všechny potřebné endpointy podléhají autentizaci.
📄️ Porušení oprávnění na úrovni property objektu
Uživatel by měl mít přístup jen ke specifickým properties objektu, ke kterému přistupuje. API je zranitelné např. pokud endpoint vystavuje properties objektu, které jsou považovány za citlivé a neměly by být uživateli dostupné.
📄️ Neomezená spotřeba zdrojů
API pro svůj běh vyžaduje zdroje (CPU, úložiště, paměť, atd.) Občas jsou zdroje veřejně vystaveny a platí se za jejich využití. API je zranitelné, pokud chybí nebo jsou špatně nakonfigurovány určité limity.
📄️ Porušení oprávnění na úrovni funkce
Mnoho administrativních endpointů je veřejně přístupných. Je důležité ptát se, zda může běžný uživatel přistoupit k administrátorským funkcím, zda může uživatel vykonat citlivé akce, ke kterým by neměl mít přístup / oprávnění atd.
📄️ Neomezený přístup k citlivým tokům
Při návrhu API je potřeba se zamyslet, jakou byznys logiku bude vystavovat jaký endpoint. Některá byznys logika může být citlivější než jiná a její zneužití by mohlo byznys výrazně poškodit.
📄️ Server-Side Request Forgery (SSRF)
K SSRF dochází, když aplikace přistupuje ke vzdálenému zdroji bez validace uživatelem zadané URL. To umožňuje obejít VPN, firewall a další ochranu podobného typu. Zranitelnost je spojena s webhooky, načítáním zdrojů z uživatelem zadané URL, vlastním SSO a URL náhledy.
📄️ Chybné nastavení zabezpečení
Mezi chybné nastavení zabezpečení patří špatná konfigurace cloudové služby, povolení nepotřebných funkcí, chybějící bezpečnostní záplaty, aktualizace nebo zastaralý systém.
📄️ Nesprávné řízení inventáře
Vedení dokumentace je klíčové (nejen) v případě řešení bezpečnostního incidentu - umožňuje rychlou a efektivní orientaci. Je důležité vědět, jaká API se používají, ale taky jaká se vystavují.
📄️ Nebezpečné použití API
Vývojáři mají tendenci věřit datům, které obdrží od služeb třetích stran. Data třetích stran často nejsou validována nebo sanitozována, což vede k celé řadě zranitelností.