皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

新2网址大全(www.122381.com):API 的5 大身份验证平安隐患

admin2021-09-0131漏洞

皇冠最新登陆网址

www.huangguan.us)实时更新发布最新最快的皇冠最新登陆代理线路网址、皇冠最新登陆会员线路网址、皇冠最新备用登录网址、皇冠最新手机版登录网址。

,

最近一连串的 API 平安事宜(Peloton、Experian、Clubhouse 等)无疑迫使许多平安和开发团队仔细检查他们的 API 平安状态,以确保它们不会成为下一个被攻击工具。确立面向外部受众的所有API的清单是组织在组合或重新评估API平安程序时最常见的起点。有了这个清单,下一步是评估每个露出的 API 的潜在平安风险,好比弱身份验证或以明文形式露出敏感数据。

OWASP API平安Top 10为评估API清单的风险类型提供了一个优越的框架。它们被列在前10位是有缘故原由的,最常见和最严重的都排在前面。例如,列表中的前两个处置身份验证和授权,这两个都可以追溯到上面提到的一些最近的API事宜,这在平安公司的客户环境中很常见。

未经身份验证的 API

未经身份验证的 API 是迄今为止在面向民众的 API 中检测到的最糟糕的事情,对于处置基本营业信息的 API 尤其云云,这些信息可能包罗遵守PCI或PHI律例的信息。


在处置需要营业数据的面向民众的 API 中缺乏身份验证的一个常见缘故原由是,该 API 已往有意不举行身份验证,以支持不支持身份验证的遗留应用程序。以前可能是这样,但这并不意味着API应该保持开放。今天,许多用户(包罗外部和内部)将完全开放地接见API。领会旧限制历史的人可能已经脱离了公司,因此,企业现在需要起劲填补这一差距。为这些破例情形打开大门是绝对不能接受的,由于很少有人在以后的某个时间点再回去关闭大门。

最佳实践:永远不要部署未履历证的API,无论是内部的照样面向民众的。

使用非空值身份验证令牌的 API

只管很难想象,但通常会发现 API 基本不使用 auth 令牌实现任何身份验证,而是仅检查请求中是否存在一个。这个问题通常比 API 中缺少身份验证更令人震惊,由于这允许用户仅通过在 API 请求中转达身份验证令牌来接见资源。令牌的现实值并不主要,由于应用程序仅检查请求中是否存在身份验证令牌(任何身份验证令牌)。


很难想到用这种方式开发 API 的充实理由。也许他们缺乏在后端应用程序中实现身份验证逻辑所需的时间?不幸的是,攻击者无需破费太多精神或时间即可行使这些 API。他们只需要为 auth 令牌发送一个非空值,API 请求就会被乐成处置。绝不应允许使用非空值令牌。曾经。它带来了“暂时”使用但永远不会被删除的重大风险。

最佳实践:始终为内部或面向民众的 API 分配令牌值。

API经由身份验证,但未经授权

只有身份验证而没有授权的 API 是另一个常见的破绽。部门缘故原由是实现用户身份验证“足够好”的看法,通过验证用户的授权权限险些没有什么利益。瑕玷是这允许用户接见不属于他们的资源。

例如,假设一个用户登录来检查他们的设置文件,尔后端没有强制执行强授权检查。通过更改用户标识符,用户将能够“嗅探”并通过相同的API获守信息。在这种非经常见的API风险中,通过身份验证的用户可以通过简朴地枚举标识符来获取许多其他用户的信息。

新2网址大全

www.122381.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。


若是标识符是简朴的数值,例如攻击者可以轻松枚举的 6 位数字,则此问题会变得更糟。最基本的建议是使用随机天生的字母-数字标识符,至少可以缓解(但不能消除)此类枚举攻击的风险。

最佳实践:始终实行强授权机制来弥补强身份验证。

API令牌扩散

应用程序开发团队通常支持差异类型的身份验证集成与其 API 的差异使用者。这最终导致 API 的身份验证方式涣散,应用程序所有者难以治理。

例如,消费者 A 可能会在请求标头中发送一个名为 X-api-token 的 API 令牌,以向应用程序验证自己的身份。相反,拥有相同API的消费者B可能会以一个名为API -key的请求参数发送他们的API令牌,第三个消费者C可能会在Authorization头中发送他们的信息。


这种差其余方式导致 API 以多种方式接受身份验证令牌,这些方式中的任何一个潜在破绽,类似于我们上面看到的那些,都可能危及所有这些方式的接见。我们的建议是强制API界说(如Swagger规范)的一致性,然后在宣布之前对效果举行测试以缓解风险。至少,在运行时发现API 并检测它们中是否存在这样的碎片验证问题是很主要的。

最佳实践:使用 API 规范框架强制执行一致性,并使用基于功效的测试设计逾越基本的渗透测试。

带有不准确授权逻辑的API

具有不准确授权逻辑的 API 允许通过接受在低权限环境(例如 dev 或 staging)中天生的身份验证令牌来接见高权限环境,例如生产环境。若是用户可以轻松接见生产环境中的敏感营业数据,这可能会迅速升级为一个重大破绽。


精明的攻击者可能能够从较低的环境中获取身份验证令牌并将其重播到生产服务器。身份验证的糟糕实现将允许此类接见,由于身份验证令牌自己可能是有用的,但适用于错误的环境。为了修复这种风险,需要将 auth 令牌的授权局限适当限制在允许接见的资源局限内。

最佳实践:使用 OAuth Scopes 或其他工具来确立和实行设计优越的授权后端。

总结

API 身份验证令牌现实上是你的应用程序中的要害。这 5 个身份验证破绽都在客户环境中发现,使他们的 API 容易受到攻击者入侵他们的应用程序并泄露他们无权接见的信息的攻击。

确立清单并剖析面向民众的 API 以在攻击者宣布或发现它们之前找到身份验证破绽异常主要。

本文翻译自:https://securityboulevard.com/2021/07/api-security-need-to-know-top-5-authentication-pitfalls/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityBloggersNetwork+%28Security+Bloggers+Network%29

网友评论