Open in app

Sign in

Write

Sign in

API SECURITY-OWASP API1:2023

Mert İyidoğan.
NATICA
Published in
2 min readDec 3, 2023

API Güvenliği ve OWASP Top-10

Merhaba, web ve mobil uygulamaların gittikçe artan hızda hayatımıza girmesi ile birlikte kullanıma sunulan API sayısı da hızla artıyor. Örneğin açık bankacılık api trafiğinin 4 yıl içerisinde 5 kattan fazla artacağı öngörülüyor.(kaynak:Akamai) Sonuç olarak API güvenliği de özel önem kazanıyor. OWASP (The Open Worldwide Application Security Project) API’lerimizi bekleyen tehlikelerin en önemli olanlarını OWASP-10 adı ile yayınlıyor. Önem derecelendirmesinde zaafiyetin yaygınlığı , ne kadar kolay sömürülebildiği , ne kadar kolay tespit edilebildiği , teknik etkisi ve iş etkisi gibi kriterler kullanıyor.

Bu yazı dizisinde öncelikle OWASP Top-10 olmak üzere API zaafiyetlerinin neler olduğu ve alınabilecek önlemler üzerinde duracağız.

API1:2023 Broken Object Level Authorization (BOLA)

Bola kısaltması ile anılan oldukça yaygın , sömürülmesi kolay bir api açığıdır.

Broken Object Level Authorization durumunda, uygulama, bir kullanıcının belirli bir nesneye erişim hakkını doğru bir şekilde denetleyemez veya yetkilendiremez. Bu nedenle, bir saldırgan bu açığı kullanarak, normalde erişme yetkisi olmayan kaynaklara erişebilir veya başka kullanıcıların verilerine ulaşabilir.

Genellikle kodlama hataları , yetkilendirme kontrolü eksiklikleri ve güvenlik politikalarının doğru şekilde uygulanmaması nedeniyle ortaya çıkar.

En basit hali ile API isteklerinde , istek sahibi ve erişeceği veri arasında yetki kontrolü yapılmadığı durumlarda başka kullanıcıların verilerine erişilebilecektir. Bu noktada yapılan en yaygın hata frontend’e güvenip backend tarafında kontrollerin atlanması olasılığıdır. Saldırgan bu açığı kolayca tespit edebilir.

Kodlama aşamasında yapılacak güvenlik testleri ile engellenebilir. CI/CD süreçlerinde de bu testlerin tekrarlanması önemlidir. Bir bugfix sürecinde developer odaklandığı sorunu çözerken , testler sırasında authorization konusunda zaman kaybetmemek için geçici olarak api’leri silahsızlandırabilir. Bu hali ile unutulan kodun deployment süreçlerinde ilerleyerek runtime’a kadar gelmesi engellenmelidir. Yaygın olmasından anlaşılacağı gibi halen runtime’a kadar gelmiş ve fark edilmemiş api’lerin varlığı mümkündür. Bu durumda kullanılacak “api security” ürünleri API davranışlarını izleyerek sizi tehditler konusunda uyaracaktır.

Sonraki yazımızda OWASP-API2 ile devam edeceğiz.

Güvende kalın.

Kaynak : https://owasp.org/API-Security/editions/2023/en/0xa1-broken-object-level-authorization/

--

--

Mert İyidoğan.
NATICA

Written by Mert İyidoğan.

13 Followers
Editor for

Executive Partner at NATICA - www.natica.com.tr - miyidogan@natica.com.tr

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams