如今的互联网环境中有许许多多针对API的安全威胁,然而大多数WAF和高级机器人保护方案仍然无法有效应对与管理。在本文中,我们将为大家解读这类新型的攻击,同时建议大家在选择API保护解决方案的时候,考虑必要的功能来应对威胁。
恶意用户可以通过完全合法有效的API调用实现攻击,并且可以规避传统安全检测方法实施这类侵害——这是目前几乎所有单独的机器人防护和WAF解决方案都无法解决的问题。在此类攻击的实践中,典型的API访问管理控制方案完全无法阻止攻击者对已授权会话的恶意利用,因为经典的模式验证方法将符合规范的API调用都视作有效负载,攻击者可以使用表面上完全合法的API调用,传递包含转换后对象的请求,利用漏洞诱使应用返回敏感的用户数据。
上面提到的都是现实中最常见的API攻击原理, 我们在此通过一个小例子更好地说明相关概念。假设有一个基于API的小应用,在它的程序功能中暗含有错误的实现。攻击者以用户A的名义登录,然后通过一系列操作细致地修改API请求,通过更改输入参数的方法,利用已登录的“用户A会话”调用另一个用户B才有的功能。随后攻击者可以仿冒B用户执行操作,甚至直接提取个人信息数据。尽管API访问实际均来自用户A的会话,但在攻击者的设计和利用下,后续的所有API请求被伪装得好像都来自于用户B一样。上述例子清晰地展现了这类攻击通过混淆会话,是多么容易规避传统安全机制的检测。随着 互联网世界API服务丰富和使用量的增加,这些攻击正变得越来越普遍。
针对API安全威胁大体上可以分成两种类型:已知的攻击方式,如注入类攻击(例如在API请求中暗含log4j注入);以及针对特定应用业务逻辑/数据结构的未知攻击方式(例如,通过API调用实现对“失效的对象级别授权”类漏洞的利用)。而要对后者实现有效防护,需要一种不同于传统检测模式的安全解决方案。
全栈Web和API安全 (WAAP) 解决方案的优势
我们采用OWASP前十大安全威胁作为参考,代表您可能面临的广泛威胁。让我们一起看看全栈Web和API安全解决方案如何应对和消除这些问题。
A10:记录和监控不足
全栈的Web和API安全解决方案,使得公司组织能够充分记录和监控数据,同时不会降低应用的性能,或对业务的开发部署造成阻碍。
A9:资产管理不当
API调用中传递的数据与API服务本身一样具有资产价值,我们有必要将 API 服务安全与数据安全紧密联系起来。采用全栈Web和API安全解决方案,可以让管理者们对所有API服务,以及编织到API中的数据拥有完整的可见性,使得公司组织能够有效地应用整体安全策略。
A8: 注入攻击
全栈Web和API安全解决方案,能够提供了最新的Web应用程序防火墙(WAF)功能来管理可能影响API安全的代码注入攻击和零日漏洞威胁。
A7:安全配置错误
在API服务的部署应用中,往往会忽略扫描和测试设计的错误配置。通常,API安全测试和验证与架构一样好。不幸的是,架构作为文档实践经常被忽视。对于组织来说,重要的是要找到方法来监控现有API的使用情况,并双重验证从代码手动生成的API模式,而不是简单地相信它是有效的。全栈Web和API安全解决方案可以提供帮助。
A6:批量分配/赋值
在针对业务逻辑的威胁中,举例而言,攻击者会诱使应用像管理员操作那样执行更改或运行控制命令。不依赖于DevOps团队的输入和配合,通用的检测工具或机制很难特定于应用的来配置检测脚本。而全栈Web和API安全解决方案可自动执行检测操作,确定应用的访问和通信中是否含有异常调用。
A5:失效的功能级授权
研发人员在设计应用过程中,会优先考虑保护关键功能免受未经授权的外部用户攻击。研发的主要关注点是检测未经授权的“南北向”API调用,加固外部实体和应用间的通信。
而当研发人员创建类似“后端为前端服务”设计主导的应用时,后端通常默认由可信赖的前端访问,此时调用API服务进行 “东西向”内部通信。全栈Web和API安全解决方案,在此时能够检测到的受信任的前端何时会转发未经授权的函数调用,从而加以阻止。
A4:资源缺乏和速率限制
传统的API安全解决方案计算API调用,但数量并不是最重要的考虑因素。API调用类型也很重要,因此组织还使用高级机器人保护,不仅可以区分人类与机器人,还可以区分好机器人与坏机器人,以提高安全性。
A3:过度的数据暴露
单纯地监控API调用的数量,远不如能够检测敏感数据是已暴露,以及在什么暴露到什么环境那么重要。全栈Web和API安全解决方案,使得您能够识别和分类敏感数据。
A2:失效的用户身份验证
许多API网关服务实现了严格的令牌验证功能,但由于帐户接管攻击 (ATO) 可能会生成随机令牌,绕过API的安全设计。通常,攻击者会接管该帐户,并使用失窃的身份来登录,生成有效的API令牌,随后他们便可以自动执行后续的攻击以窃取数据。上线全栈Web和API安全解决方案,可以确保您实施正确的帐户保护程序。
A1:失效的对象级别授权
毫无疑问,这类攻击对有经验的安全管理员而言很容易判断,但是在现实中如何做到高效的自动检测呢?关注数据对象之间的关系至关重要。还记得我们的示例中,攻击者欺骗应用程序,在用户A的登录会话中运行另一个用户B的操作吗?全栈Web和API安全自动化解方案,可以在这类传统方法无用武之地的情形下成功且高效地检测这类异常。
从有效的威胁发现开始实现API 安全
由于API服务的数据层特定于每个独立的应用,因此需要自动发现威胁请求,在过程必须具有识别敏感数据的能力。API 服务清单是检测和修复对应安全事件的基础,它必须能够自动更新以保证所有服务都按预期方式运行。
原文始发于微信公众号(IMPERVA):采用必要的API安全方案抵御WAF和Bot防御无法阻止的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论