Api Security Owasp5:2023
Broken Function Level Authorization (BFLA)
İşlev düzeyinde hatalı yetkilendirme
Kolay suistimal edilebilir, yaygın ve saldırgan tarafından tespit edilmesi kolay bir güvenlik açığıdır.
Modern uygulamalar, kullanıcı hiyerarşisinde rol, grup ve alt kullanıcılar ile birden fazla role sahip olan kullanıcıları içerdiği için, yetkilendirme mekanizmalarını uygulamak oldukça karmaşık bir süreçtir. Dağıtılmış uygulama mimarileri ile daha karmaşık hale gelir.
Hatalı yetkilendirme güvenlik açıklarından yararlanan saldırganlar, yetkisiz kaynaklara erişim sağlayabilir, başka bir kullanıcının hesabını ele geçirebilir , hesap oluşturabilir/silebilir veya yönetici erişimi elde etmek için ayrıcalıkları yükseltebilir.
Hatalı işlev düzeyinde yetkilendirme, kullanıcının rolüne veya izinlerine göre kısıtlanması gereken belirli işlevlere veya özelliklere yetkisiz erişime izin veren bir API güvenlik açığını ifade eder. Yani API’lerdeki hiyerarşik izin sistemlerinin bozuk veya eksik olması durumudur. API herhangi bir kullanıcının diğer kullanıcıların gönderilerini düzenlemesine , değiştirmesine , silmesine izin veriyorsa bu klasik bir BFLA açığıdır.
Nasıl önleriz?
Tüm iş fonksiyonlarınızdan çağrılan, tutarlı ve analizi kolay bir yetkilendirme modülüne sahip olunmalıdır.
Yetkilendirme mekanizmaları varsayılan olarak tüm erişimi reddetmeli (sıfır güven) ve her işleve erişim için sıkı rol tabanlı erişimi zorunlu kılmalıdır.
İş mantığınız ve yetkilendirme kurallarınıza uygun olarak API’lerinizi inceleyin , iş mantığı değiştiğinde tüm testleri mutlaka tekrar koşun.
Zayıf kimlik kontrolleri ve tahmin edilebilir parametre kullanımından kaçının.
Api Security ürünü edinin ve owasp açıklarının tespiti için kullanın. Kural bazlı geleneksel api araçları bu açıkları yakalamakta size yardımcı olamayacaktır.
Güvenli Kodlar.
Okuma listesi ;
