從表面上看,很明顯其中一些漏洞占據(jù)了相同的位置,但有一些漏洞進行了更新、更改或合并。讓我們回顧一下 2023 年列表中的每個漏洞,并查看其 2019 年的歷史記錄。
損壞的對象級授權(quán)(縮寫為BOLA)自 2019 年以來一直排名第一。這種攻擊通常是由于對象級授權(quán)不當(dāng)而發(fā)生的。這為黑客提供了更大的攻擊面,因為處理對象標(biāo)識符的端點暴露在黑客面前。
2021 年,Microsoft Exchange 遭受了 BOLA 攻擊。通過利用此漏洞,黑客繞過了一些訪問控制點,并能夠訪問存儲在 Microsoft Exchange 服務(wù)器中的敏感信息。這些數(shù)據(jù)包括用戶憑據(jù)和電子郵件通信。此次攻擊影響了全球數(shù)萬家公司。
可以通過以下方式減輕此 API 安全風(fēng)險:
2019 年以來,身份驗證漏洞也一直排在第二位。此漏洞唯一的變化是其名稱。在OWASP 2019 API 安全風(fēng)險列表中,它被稱為“用戶身份驗證漏洞”。近年來,攻擊的性質(zhì)一直沒有改變。
如果身份驗證過程設(shè)計不當(dāng),黑客可以使用多種方式,包括憑證填充、非散列密碼、暴力破解和會話劫持來攻擊 API 并訪問敏感數(shù)據(jù)。
2015 年,Dunkin’ Donuts 因遭受暴力攻擊而登上新聞頭條。攻擊者瞄準(zhǔn)了其數(shù)字客戶賬戶。他們利用之前泄露和竊取的客戶信息,并運行暴力算法。黑客利用客戶忠誠度應(yīng)用程序訪問了超過 19,000 個賬戶并竊取了數(shù)以萬計的獎勵現(xiàn)金。
可以通過以下方式緩解此 API 安全風(fēng)險
OWASP 2019 安全風(fēng)險列表中的過度數(shù)據(jù)暴露被 OWASP 2023 安全風(fēng)險列表中的對象屬性級別授權(quán)損壞所取代。此漏洞是過度數(shù)據(jù)暴露和批量分配的組合,在 2019 年列表中分別排名第三和第六位。
當(dāng)允許用戶訪問任何 API 端點時,驗證用戶是否有權(quán)訪問特定對象屬性非常重要。如果在此級別無法進行適當(dāng)?shù)纳矸蒡炞C,敏感數(shù)據(jù)可能會暴露給攻擊者。
Twitter 已成為利用破壞的對象屬性級授權(quán)漏洞進行攻擊的受害者。這家社交媒體巨頭提供了一個 API,允許將 Twitter ID 交換為關(guān)聯(lián)的電子郵件地址和電話號碼。然而,這種做法引發(fā)了對過度數(shù)據(jù)暴露的擔(dān)憂,因為獲取 Twitter ID 可以進一步用于獲取用戶信息。這家社交媒體公司于 2022 年 8 月發(fā)布聲明稱,該漏洞是其漏洞賞金計劃于 2022 年 1 月發(fā)現(xiàn)的。然而,一名攻擊者在 2022 年 7 月利用了此漏洞,并提出出售這些數(shù)據(jù)。
可以通過以下方式減輕此 API 安全風(fēng)險:
在 OWASP 2019 API 漏洞中被稱為資源不足和速率限制,現(xiàn)在在OWASP的 2023 API 風(fēng)險列表中被稱為無限制的資源消耗。前者僅關(guān)注漏洞,而后者談?wù)摰氖呛鲆曔m當(dāng)?shù)乃俾氏拗坪唾Y源使用限制的后果。
通過利用此 API 漏洞,攻擊者可以使用拒絕服務(wù) (DoS) 攻擊耗盡目標(biāo)系統(tǒng)的資源。他們向目標(biāo) API 發(fā)送大量請求,這可能會導(dǎo)致系統(tǒng)不可用或不穩(wěn)定。波蘭的主要稅務(wù)門戶網(wǎng)站最近遭受了 DDoS 攻擊。攻擊者瞄準(zhǔn)了支持中央稅務(wù)服務(wù)背后 API 的資源。因此,服務(wù)器幾個小時都無法使用。
可以通過以下方式緩解此 API 安全風(fēng)險
此漏洞在 OWASP 2019 和 2023 API 安全風(fēng)險列表中均位列第五。當(dāng)允許用戶執(zhí)行必須僅允許管理員執(zhí)行的任務(wù)時,就會利用損壞的功能級別授權(quán)漏洞。當(dāng)用戶的分層權(quán)限系統(tǒng)未正確集成時,就會發(fā)生這種情況。
2022 年 9 月的 Optus 數(shù)據(jù)泄露事件是由于公開暴露且未受保護的 API 造成的。此次攻擊是由三個主要安全漏洞引起的。首先,他們有面向公眾的 API。其次,這些 API 可以輕松訪問敏感的客戶數(shù)據(jù)。最后,客戶 ID 的分配方式很具罪證。該漏洞被利用了大約三個月,導(dǎo)致 980 萬客戶的數(shù)據(jù)存在泄露風(fēng)險。
可以通過以下方式緩解此 API 安全風(fēng)險
在 OWASP 2019 API 安全風(fēng)險列表中,Mass Assignment 排名第六。然而,它在 2023 年被“對敏感業(yè)務(wù)流程的無限制訪問”所取代。每家公司都有自己的業(yè)務(wù)流程。使用提供對這些敏感業(yè)務(wù)流程的過度訪問權(quán)限的 API 可能會讓攻擊者識別工作流中的漏洞并破壞其正常運行。
網(wǎng)絡(luò)安全公司賽門鐵克也因該漏洞而遭受攻擊,攻擊者利用經(jīng)銷商業(yè)務(wù)邏輯中的訪問控制。他們泄露了私鑰,導(dǎo)致 20,000 個 SSL 證書被撤銷。
可以通過以下方式緩解此 API 安全風(fēng)險
服務(wù)器端請求偽造 (SSRF) 已取代安全配置錯誤,從 2019 年 API 安全風(fēng)險列表中排名第七。當(dāng)攻擊者可以操縱服務(wù)器端的請求,從而訪問內(nèi)部資源并進一步從事惡意活動時,就會發(fā)生這種攻擊。
美國銀行控股公司 CapitalOne 在 2019 年成為 SSRF 的受害者。基礎(chǔ)設(shè)施中存在漏洞以及糟糕的安全措施是此次攻擊的主要原因。攻擊者泄露了超過 1 億條客戶記錄。
可以通過以下方式緩解此 API 安全風(fēng)險
注入攻擊在 OWASP 2019 年 API 安全風(fēng)險中排名第八,之前排名第七的安全配置錯誤取代了注入攻擊。顧名思義,當(dāng) API 配置不安全時就會發(fā)生這種風(fēng)險,這可能會導(dǎo)致潛在的安全漏洞和漏洞。這可能涉及默認(rèn)設(shè)置、未受保護的敏感信息、冗余功能和不良的訪問限制,攻擊者可以利用這些來獲取未經(jīng)授權(quán)的訪問、泄露數(shù)據(jù)或中斷服務(wù)。
協(xié)作工具 JIRA 存在安全配置錯誤,導(dǎo)致許多大型公司的個人和公司數(shù)據(jù)容易受到攻擊。攻擊空間是由于 Global Permissions 中的授權(quán)配置錯誤而產(chǎn)生的。
可以通過以下方式緩解此 API 安全風(fēng)險
不當(dāng)庫存管理(在 OWASP 2019 年列表中也稱為不當(dāng)資產(chǎn)管理)是指未對 API 進行盤點或正確管理,從而產(chǎn)生多個盲點和更大的攻擊面。它可以暴露業(yè)務(wù)邏輯和資源,從而產(chǎn)生更多漏洞。
2022 年 9 月,澳大利亞電信公司 Optus 因庫存管理不當(dāng)而遭受攻擊。攻擊者瞄準(zhǔn)了用于管理客戶帳戶的 API,該 API 使他們能夠訪問有關(guān)客戶的關(guān)鍵信息,包括姓名、電話號碼和地址。由于 API 管理不當(dāng),該漏洞未被發(fā)現(xiàn),危及了數(shù)千名客戶的敏感信息。
可以通過以下方式緩解此 API 安全風(fēng)險
OWASP 2023 API 安全風(fēng)險列表中,不安全的 API 使用已取代日志記錄和監(jiān)控不足。如果從外部 API 收到的數(shù)據(jù)未經(jīng)驗證和清理,則可能會出現(xiàn)此漏洞。當(dāng) API 遵循不安全的重定向、盲目支持第三方集成并信任所有傳入數(shù)據(jù)而未進行適當(dāng)驗證時,就會發(fā)生通過不安全的 API 使用進行的攻擊。
Log4Shell 漏洞是最新和最著名的不安全使用 API 的例子之一。Apache Log4j 日志庫在全球范圍內(nèi)廣泛使用,它允許用戶通過 API 控制輸入進行無限制訪問。代碼中的漏洞允許用戶在托管應(yīng)用程序的服務(wù)器上運行任意代碼。攻擊者可以通過在請求中發(fā)送惡意代碼來利用此漏洞。
可以通過以下方式緩解此 API 安全風(fēng)險
總之,OWASP 2023 API 安全風(fēng)險列表主要傾向于控制訪問。如果我們觀察,我們會注意到四個風(fēng)險集中在提供訪問權(quán)限上,其中三個傾向于限制訪問權(quán)限,其余三個則涉及安全地設(shè)置 API 以及驗證和清理傳入的請求。
技術(shù)日新月異,但網(wǎng)絡(luò)犯罪分子的技術(shù)也日新月異。始終領(lǐng)先于攻擊者才是明智之舉。
文章來源:Comparing 2019 and 2023 OWASP Top 10 API Security Risks