Api Security Owasp6:2023
Hassas İş Akışlarına Sınırlandırılmamış Erişim
Suistimal edilmesi kolay , yaygın ve tespit edilmesi orta zorlukta bir güvenlik açığıdır. Saldırgan bütünsel bir bakış açısı ile api iş akışlarını analiz ederek hassas akışlardaki açıkları bulabilir. Bu açıkları zarar verecek şekilde otomatikleştirebilir.
Örnek vermek gerekirse; online olarak ciddi bir indirim ile sınırlı sayıda satışa sunulan bir ürün veya hizmet var diyelim. Saldırgan ürünlerin tümünü satışa çıktığı anda farklı ip’ler üzerinden çalıştıracağı script ile satın alabilir.
WAF’ler ve API ağ geçitleri genellikle bot algılama yetenekleri içerirler. Ancak iş mantığı kusurlarını hedef alan otomatik API saldırıları, insan benzeri davranışları taklit eden teknikler kullandıklarından bu araçlar için meşru çağrılar olarak görülecektir. API davranışlarını uzun süre izleyip ML/AI destekli davranış analizi yapan API Security araçları bu tespit edilmesi güç olan açıkları yakalamada daha doğru araçlar olacaktır.
Nasıl Önlenir?
- İnsan tespiti: captcha veya daha gelişmiş biyometrik çözümleri kullanın.
- İnsan dışı kalıplar: İnsan dışı kalıpları tespit etmek için kullanıcı akışını analiz edin (örneğin, kullanıcı “sepete ekle” ve “satın alma işlemini tamamla” işlevlerine bir saniyeden daha kısa sürede erişti)
- Tor çıkış düğümlerinin ve iyi bilinen proxy’lerin IP adreslerini engelleyin.
- Headless Browser çağrılarını engelleyin.
- B2B apileri gibi doğrudan makineler tarafından kullanılan apileri sınırlandırın.
- ML/AI destekli api davranış analizi yapabilen bir ürün konumlandırın.
Güvenli kodlar.
Referanslar;
