什么是損壞的訪(fǎng)問(wèn)控制？

顧名思義，當(dāng) API 無(wú)法有效執(zhí)行訪(fǎng)問(wèn)規(guī)則時(shí)，就會(huì)出現(xiàn)訪(fǎng)問(wèn)控制破壞漏洞。這種情況發(fā)生在 API 的訪(fǎng)問(wèn)控制措施存在缺陷或配置錯(cuò)誤時(shí)，使未經(jīng)授權(quán)的用戶(hù)能夠訪(fǎng)問(wèn)敏感資源或執(zhí)行未經(jīng)授權(quán)的操作。

訪(fǎng)問(wèn)控制是應(yīng)用程序安全的重要方面，因?yàn)樗_保用戶(hù)根據(jù)其角色和職責(zé)獲得適當(dāng)?shù)臋?quán)限。當(dāng)訪(fǎng)問(wèn)控制失效時(shí)，可能導(dǎo)致嚴(yán)重的安全威脅，包括數(shù)據(jù)泄露、未經(jīng)授權(quán)的修改和敏感信息的暴露。

API 安全中與訪(fǎng)問(wèn)控制相關(guān)的常見(jiàn)漏洞有哪些？

在不同情況下可能導(dǎo)致未授權(quán)訪(fǎng)問(wèn)。以下是一些常見(jiàn)情景，攻擊者可以利用訪(fǎng)問(wèn)控制破壞的漏洞：

1. 缺乏訪(fǎng)問(wèn)角色：當(dāng) API 缺乏適當(dāng)?shù)脑L(fǎng)問(wèn)管理時(shí)，就會(huì)出現(xiàn)這種情況。因此，API 不再僅限于特定角色或授權(quán)用戶(hù)，而是對(duì)所有人開(kāi)放。這進(jìn)一步允許未授權(quán)用戶(hù)訪(fǎng)問(wèn)關(guān)鍵資源或執(zhí)行他們不應(yīng)被允許的行為。結(jié)果，敏感信息和功能可能被未經(jīng)授權(quán)的人竊取或?yàn)E用，從而創(chuàng)建了一個(gè)訪(fǎng)問(wèn)控制破壞的攻擊面，使 API 安全處于風(fēng)險(xiǎn)之中。
2. 未保護(hù)的用戶(hù) ID：在開(kāi)發(fā) API 時(shí)，確保 URL 中的用戶(hù) ID 得到適當(dāng)保護(hù)至關(guān)重要。如果未能做到這一點(diǎn)，攻擊者可能?chē)L試猜測(cè)或修改用戶(hù) ID 來(lái)獲取對(duì)另一用戶(hù)信息的未授權(quán)訪(fǎng)問(wèn)或執(zhí)行惡意操作。例如，考慮網(wǎng)頁(yè) https://demo.example.com。當(dāng)用戶(hù)登錄時(shí)，URL 變?yōu)?http://demo.example.com/user/12345，其中“12345”是用戶(hù) ID。如果攻擊者將這個(gè)用戶(hù) ID 修改為 http://demo.example.com/user/12344 并成功訪(fǎng)問(wèn)用戶(hù) 12344 的信息，則顯示出安全問(wèn)題。
3. CORS 配置錯(cuò)誤：CORS（跨源資源共享）是一種機(jī)制，允許網(wǎng)絡(luò)瀏覽器進(jìn)行跨源請(qǐng)求，實(shí)現(xiàn)不同域或平臺(tái)之間的通信。然而，如果 CORS 配置不正確，可能導(dǎo)致向未授權(quán)用戶(hù)過(guò)度暴露數(shù)據(jù)。CORS 配置錯(cuò)誤可能允許不受信任的來(lái)源利用訪(fǎng)問(wèn)控制破壞漏洞訪(fǎng)問(wèn)敏感信息。
4. 不安全的 URL：一個(gè)未加保護(hù)的 API URL 可能允許攻擊者以某種方式操作 URL，從而獲取更高級(jí)別的訪(fǎng)問(wèn)權(quán)限或訪(fǎng)問(wèn)未授權(quán)的內(nèi)容，從而危及 API 安全。例如，URL http://demo.example.com/users/12345 提供用戶(hù)信息。攻擊者可以將 URL 改為 http://demo.example.com/admin，獲得管理員訪(fǎng)問(wèn)權(quán)限，并執(zhí)行管理員級(jí)別的操作。
5. 權(quán)限提升：當(dāng)攻擊者獲取比他們被允許的更多的訪(fǎng)問(wèn)權(quán)限或權(quán)利時(shí)，就會(huì)發(fā)生權(quán)限提升，使他們能夠執(zhí)行未授權(quán)的操作或訪(fǎng)問(wèn)受限資源。
6. 強(qiáng)制瀏覽：作為未認(rèn)證用戶(hù)或具有較低權(quán)限的用戶(hù)訪(fǎng)問(wèn)認(rèn)證頁(yè)面或應(yīng)用程序的特權(quán)部分，繞過(guò)訪(fǎng)問(wèn)控制，獲得未授權(quán)訪(fǎng)問(wèn)。
7. 未保護(hù)的 HTTP 方法：GET、PUT、POST 和 DELETE 等 HTTP 方法執(zhí)行不同的操作，并用于通過(guò) API 連接資源。適當(dāng)管理這些技術(shù)的訪(fǎng)問(wèn)和權(quán)限至關(guān)重要，以防止未經(jīng)授權(quán)的用戶(hù)信息更改。例如，URL http://demo.example.com/users/12345 用 GET 方法提供用戶(hù)信息。攻擊者將方法改為 DELETE，可能導(dǎo)致用戶(hù)因 API 處理不當(dāng)被刪除，或使用 PUT 方法攻擊者可以更改數(shù)據(jù)。
8. 元數(shù)據(jù)操縱：攻擊者可以操縱 JWT（JSON Web Token）或 cookie 元數(shù)據(jù)，以獲得對(duì)資源的授權(quán)訪(fǎng)問(wèn)。解決這些漏洞并實(shí)施強(qiáng)大的訪(fǎng)問(wèn)控制措施對(duì)于保障 API 安全和防止對(duì) API 及其相關(guān)資源的未授權(quán)訪(fǎng)問(wèn)至關(guān)重要。

如何使用 API 網(wǎng)關(guān)緩解損壞的訪(fǎng)問(wèn)控制？

• 安全認(rèn)證與授權(quán)：?用戶(hù)可以利用 API 網(wǎng)關(guān)建立集中式的認(rèn)證與授權(quán)流程。API 網(wǎng)關(guān)作為所有 API 請(qǐng)求的集中入口，允許您從單一位置指定并強(qiáng)制執(zhí)行不同 API 的訪(fǎng)問(wèn)控制政策。這種集中化方法通過(guò)建立所有 API 的一致和標(biāo)準(zhǔn)化訪(fǎng)問(wèn)控制來(lái)減少未授權(quán)訪(fǎng)問(wèn)的可能性。API 網(wǎng)關(guān)提供基本認(rèn)證、JWT 認(rèn)證和 OAuth 等認(rèn)證方法，以確保用戶(hù)登錄的合法性。這些方法有助于驗(yàn)證用戶(hù)身份并授權(quán)訪(fǎng)問(wèn) API 資源，從而增強(qiáng)安全性。
• 設(shè)置 CORS 配置： API 網(wǎng)關(guān)允許您為您的 API 設(shè)置 CORS（跨源資源共享）配置。這種集中化方法通過(guò)建立一致和標(biāo)準(zhǔn)化的訪(fǎng)問(wèn)控制來(lái)減少未授權(quán)訪(fǎng)問(wèn)的可能性。在 API 網(wǎng)關(guān)中配置 CORS 時(shí)，您可以設(shè)置允許的域，這有助于保護(hù)您的 API 免受跨域攻擊。CORS 配置還允許您定義暴露的頭文件，這有助于規(guī)范跨源請(qǐng)求可以訪(fǎng)問(wèn)的信息，減少敏感頭文件的可見(jiàn)性。此外，API 網(wǎng)關(guān)的 CORS 設(shè)置還可以指定是否應(yīng)在跨源請(qǐng)求中包含憑證（如 Cookie 或授權(quán)頭）、允許的方法（允許跨源請(qǐng)求的 HTTP 方法）和允許的頭文件等附加字段。
• 基于角色的訪(fǎng)問(wèn)管理： 基于角色的訪(fǎng)問(wèn)管理有助于為所有 API 定義特定的規(guī)則和權(quán)限。這有助于確保用戶(hù)可以根據(jù)其角色訪(fǎng)問(wèn)適當(dāng)?shù)男畔ⅰＴ?API 網(wǎng)關(guān)中，RBAC（基于角色的訪(fǎng)問(wèn)控制）可以使用訪(fǎng)問(wèn)控制列表（ACL）來(lái)實(shí)施。通過(guò) RBAC 和 ACL，您可以將用戶(hù)分配給不同的角色，并將每個(gè)角色與一組預(yù)定義的訪(fǎng)問(wèn)權(quán)限關(guān)聯(lián)。這些權(quán)限確定了用戶(hù)可以基于其分配的角色訪(fǎng)問(wèn)哪些操作和資源，并保護(hù)資源免受未授權(quán)訪(fǎng)問(wèn)。
• 日志記錄和監(jiān)控：API 網(wǎng)關(guān)的日志記錄與監(jiān)控對(duì)于分析 API 性能和檢測(cè)潛在的有害行為至關(guān)重要。通過(guò)記錄和分析 API 數(shù)據(jù)，您可以找到幫助您定義常見(jiàn)行為的模式，并發(fā)現(xiàn)可能表明惡意活動(dòng)的異常情況。API 網(wǎng)關(guān)的日志模塊記錄進(jìn)來(lái)的請(qǐng)求、響應(yīng)、失敗以及其他相關(guān)的元數(shù)據(jù)。這些信息可以用來(lái)評(píng)估整個(gè) API 基礎(chǔ)設(shè)施，確定瓶頸并評(píng)估 API 性能。
• API 密鑰管理：?API 密鑰通常用于驗(yàn)證來(lái)自客戶(hù)端應(yīng)用程序的請(qǐng)求的有效性。您可以在 API 網(wǎng)關(guān)中為各種應(yīng)用程序（如移動(dòng)或 Web 應(yīng)用程序）生成獨(dú)特的 API 密鑰。此外，您可以自由指定 API 密鑰應(yīng)隨請(qǐng)求體、請(qǐng)求頭或作為查詢(xún)參數(shù)發(fā)送。這種靈活性確保了 API 的安全，允許針對(duì)不同類(lèi)型的客戶(hù)端應(yīng)用程序使用特定的驗(yàn)證方法。
• 速率限制和 IP 限制： 速率限制和 IP 限制是防止如 DDoS（分布式拒絕服務(wù)）等有害自動(dòng)化攻擊的重要安全措施。這些措施限制了在特定時(shí)間框架內(nèi)的請(qǐng)求數(shù)量，并阻止授權(quán)的 IP，以確保后端服務(wù)器的安全。

文章來(lái)源：Enhancing API Security: Mitigating the Risk of Broken Access Control