Мазмұны жасыру
1 262-000177-001 API қауіпсіздігі үшін OWASP Top 10
2 Өнім туралы ақпарат
2.1 Техникалық сипаттамалар
2.2 Өнімді пайдалану нұсқаулары
2.2.1 API қауіпсіздігіне кіріспе
2.2.2 API Security Cheat Sheet
2.2.3 Әзірлеушіге арналған нұсқаулық аяқталдыview
2.3 Жиі қойылатын сұрақтар (ЖҚС)
2.3.1 С: API қауіпсіздігі неге маңызды?
2.3.2 С: Қауіпсіз API интерфейстерін қалай енгізуге болады?
2.3.3 Құжаттар / Ресурстар
2.3.3.1 Анықтамалар

262-000177-001 API қауіпсіздігі үшін OWASP Top 10

«

Өнім туралы ақпарат

Техникалық сипаттамалар

  • Өнім атауы: API үшін 2023 OWASP Top 10 нұсқасына әзірлеуші нұсқаулығы
    Қауіпсіздік
  • Мазмұны: API қауіпсіздік парағы, анықтамалар және егжей-тегжейлі
    API қауіпсіздігіне арналған 2023 OWASP Top 10 нұсқаулығы

Өнімді пайдалану нұсқаулары

API қауіпсіздігіне кіріспе

Әзірлеуші нұсқаулығы туралы толық ақпарат берілген
API қауіпсіздігіне арналған 2023 OWASP Top 10, жалпы қауіпсіздікті көрсетеді
API интерфейстері бар қосымшаларды әзірлеу кезіндегі тәуекелдер.

API Security Cheat Sheet

Хит парағы API қауіпсіздігінің келесі санаттарын көрсетеді
тәуекелдер:

  1. Бұзылған нысан деңгейінің авторизациясы
  2. Бұзылған аутентификация
  3. Бұзылған нысанның меншік деңгейінің авторизациясы
  4. Ресурстарды шектеусіз тұтыну
  5. Бұзылған функция деңгейінің авторизациясы
  6. Сезімтал бизнес ағындарына шектеусіз қол жеткізу
  7. Сервер жағындағы сұрауды жалған жасау
  8. Қауіпсіздік конфигурациясының қателігі
  9. Тауарлық-материалдық қорларды дұрыс басқару
  10. API интерфейстерін қауіпті тұтыну

Әзірлеушіге арналған нұсқаулық аяқталдыview

Нұсқаулық қамтамасыз ететін әрбір API қауіпсіздік тәуекел санатын зерттейді
егжей-тегжейлі түсіндірмелер мен мәселені шешу және азайту бойынша нұсқаулар
бұл тәуекелдерді тиімді.

Жиі қойылатын сұрақтар (ЖҚС)

С: API қауіпсіздігі неге маңызды?

A: API қауіпсіздігі өте маңызды, өйткені API жиі құпия деректерді көрсетеді
және қолданба логикасы, оларды шабуылдаушылар үшін негізгі мақсат етеді.
API интерфейстерін қорғау деректердің бұзылуын болдырмау үшін өте маңызды және
жалпы жүйе қауіпсіздігін қамтамасыз ету.

С: Қауіпсіз API интерфейстерін қалай енгізуге болады?

A: Қауіпсіз API интерфейстерін енгізу үшін, сияқты ең жақсы тәжірибелерді орындаңыз
сәйкес аутентификация, авторизация механизмдері, енгізуді тексеру,
құпия деректерді шифрлау және тұрақты қауіпсіздікті бағалау және
жаңартулар.

«`

View Fullscreen

АҚ ҚАҒАЗ
API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

Мазмұны

API қауіпсіздік парағы

5

Анықтамалар

5

API1:2023–Бұзылған нысан деңгейінің авторизациясы

7

API2:2023–Бұзылған аутентификация

8

API3:2023–Бұзылған нысан сипаты деңгейінің авторизациясы

9

API4:2023 – Ресурстарды шектеусіз тұтыну

11

API5:2023–Бұзылған функция деңгейінің авторизациясы

13

API6:2023 – Сезімтал бизнес ағындарына шектеусіз қол жеткізу

14

API7:2023–Сервер тарапынан жалғандық сұрауы

16

API8:2023–Қауіпсіздік конфигурациясы

18

API9:2023 – Түгендеуді дұрыс емес басқару

19

API10:2023 – API интерфейстерін қауіпті тұтыну

21

API Security Top-10 жеткіліксіз!

23

Қорытынды

23

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

2/23

Компаниялар бұлтты инфрақұрылымды және DevOp стиліндегі әдістемелерді қабылдағандықтан, web қолданбалы бағдарламалау интерфейстері немесе API интерфейстері көбейді. Ең танымал жалпыға ортақ API интерфейстерінің кейбіріне әзірлеушілерге Google Search жүйесіне кіруге, TikTok деректерінен деректерді алуға, көлік құралдарын қадағалауға, спорт ұпайларын жинауға және танымал сайттардан кескін жүктеп алу деректерін жинауға мүмкіндік беретіндер кіреді.1 2023 жылы API-ге қатысты трафик барлық динамикалық – кэштелмейтін трафик ретінде анықталған барлық динамикалық трафиктің 58 пайызын құрайды, соңында 54 пайыздан 2021.2 пайызға жоғары.
API интерфейстері корпоративтік қолданбалардың бір-бірімен байланысу және біріктіру тәсілі болды. Компаниялар API интерфейстерінің шамамен үштен екісін (64%) қолданбаларын серіктестерге қосу үшін пайдаланады, ал жартысы (51%) микросервистерге кіру нүктелері болып табылады. Тұтастай алғанда, фирмалардың төрттен үшінен астамы бір қолданбаға орта есеппен кемінде 25 API пайдаланады.3
API негізіндегі қолданбалы инфрақұрылымды қабылдау таң қалдырмауы керек: үшінші тарап әзірлеушілерін тарту және экожүйелерді құру үшін API интерфейстерін қабылдайтын компаниялар өсімнің артқанын көреді. Чапман университеті мен Бостон университетінің зерттеушілерінің 13 жылғы мақаласына сәйкес, бұл «инверттелген фирмалар» – технологиялардың айналасында тосқауылдар жасаудың дәстүрлі тұжырымдамаларын өзгертетін және кейбір мүмкіндіктер мен деректерге ашық қол жеткізуге мүмкіндік беретіндіктен осылай аталады – API қолданбаған фирмалармен салыстырғанда екі жыл ішінде шамамен 39 пайызға және 16 жыл ішінде 2022 пайызға өсті.
Микросервистерді, контейнерлеуді және API интерфейстерін қабылдаумен бірге қауіпсіз емес бағдарламалық құрал құрамдастары, нашар бизнес логикасы және ақаулы деректер қауіпсіздігі сияқты әртүрлі тәуекелдер туындайды. Әрбір он ұйымның тоғызы (92%) қауіпті API интерфейстеріне байланысты кем дегенде бір қауіпсіздік инцидентіне ұшырады.5 Ірі компанияларда әдетте мыңдаған API интерфейстері бар және сол жүйелерге жасалған шабуылдар қауіпсіздік оқиғаларының шамамен 20 пайызын құрайды, ал кішігірім компанияларда жүздеген API бар, олардың кішігірім шабуыл беті қауіпсіздік инциденттерінің бес пайызын құрайды.6 API бұзылуларының салдарынан болатын жылдық жоғалтулар миллиард доллардан асады40. Марш МакЛеннанның бағалауы.7
1 Ареллано, Келли. Ең танымал 50 API. RapidAPI блогы. RapidAPI. Web Бет. 16 жылғы 2023 наурыз.
2 Треманте, Майкл және т.б. Қолданба қауіпсіздігі туралы есеп: 2 ж. 2023-тоқсан. Cloudflare блогы. Cloudflare. Блог жазбасы. 21 жылғы 2023 тамыз.
3 Марк, Мелинда. API шабуыл бетін қорғау. Кәсіпорынның стратегиялық тобы. Пало Альто Networks демеушісі. PDF есебі, б. 10. 23 мамыр 2023 ж.
4 Benzell, Seth G., et al. API интерфейстері фирманы инверсиялау арқылы өсуді қалай жасайды. Әлеуметтік ғылымдарды зерттеу желісі. Зерттеу жұмысы. Қайта қаралған: 30 желтоқсан 2022 ж.
5 API шабуылының бетін қорғау. Кәсіпорынның стратегиялық тобы, б. 14. 6 Лемос, Роберт. API қауіпсіздігі жалпы миллиардтаған жоғалтады, бірақ бұл күрделі. Қараңғы оқу.
Жаңалықтар мақаласы. 30 маусым 2022 жыл. 7 Марш МакЛеннан. API Қауіпсіздігінің құнын анықтау. Imperva демеушісі.
PDF есебі. 22 жылғы 2022 маусым.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

3/23

2023 API Security Top-10 тізімі API интерфейстерін ашатын немесе пайдаланатын қолданбаларды әзірлеу кезінде жасалатын ең көп таралған және маңызды он қауіпсіздік тәуекелін көрсетеді.

Мәселе соншалық, АҚШ Ұлттық қауіпсіздік агенттігі Австралиялық киберқауіпсіздік орталығымен (ACSC) және АҚШ киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігімен (CISA) бірігіп, API қауіпсіздік мәселелеріне, әсіресе қауіпсіз емес тікелей нысан сілтемесі (IDOR) осалдықтары ретінде белгілі ең көп таралған мәселелерге қатысты нұсқауларды ұсынды.8
Таңқаларлық емес, қауіпсіздік мәселелерінің осы фонында Open Worldwide Application Security Project (OWASP) өзінің API Security Top-10 тізіміне жаңартуды шығарды. 2019 жылғы алғашқы тізімін жаңартып, 2023 API Security Top-10 тізімі API интерфейстерін ашатын немесе пайдаланатын қолданбаларды әзірлеу кезінде жасалатын ең көп таралған және маңызды он қауіпсіздік тәуекелін көрсетеді. IDOR осалдықтарын қамтитын бұзылған нысан деңгейіндегі авторизация сияқты мәселелер алдыңғы тізімдегі өзгеріссіз қалады. Дегенмен, жаңа санаттар – немесе қайта ұйымдастырылған санаттар – қазір серверлік сұрауды жалған жасау (API7:2023) және сезімтал бизнес ағындарына шектеусіз қол жеткізу (API6:2023) сияқты бұрын ескерілмеген мәселелерді бөлектейді.
“By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this, APIs have increasingly become a target for attackers,” the OWASP group stated in its announcement.9 “Without secure APIs, rapid innovation would be impossible.”

8 Жаңа киберқауіпсіздік кеңесі туралы ескертеді Web Қолданбаның осалдықтары. Ұлттық қауіпсіздік агенттігі. Баспасөз хабарламасы. 27 жылғы 2023 шілде.
9 Open Worldwide Application Security жобасы. OWASP API қауіпсіздігі Топ 10: Алға жіберу. OWASP.org. Web Бет. 3 шілде 2023 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

4/23

API қауіпсіздік парағы

OWASP Top 10 санаты 1. Бұзылған нысан деңгейінің авторизациясы 2. Бұзылған аутентификация 3. Бұзылған нысанның меншік деңгейінің авторизациясы 4. Ресурсты шектеусіз тұтыну 5. Бұзылған функция деңгейінің авторизациясы 6. Сезімтал іскери ағындарға шектеусіз қатынасу 7. Miger Side Security Request.Connect. Инвентаризацияны басқару 8. API интерфейстерін қауіпті тұтыну

Киберқауіпсіздік шешімі SAST SAST, DAST SAST, DAST SAST, DAST, Secure API Manager SAST DAST DAST SAST, DAST Secure API Manager SCA, SAST

Анықтамалар
API Endpoint – Екі жүйе арасындағы байланыс нүктесі, әдетте а URL микросервисті іске қосатын контейнер немесе сервер. пайдалану URL, қолданба немесе әзірлеуші серверден ақпаратты сұрай алады немесе API серверінде немесе микросервисте әрекетті орындай алады.
API-қатысты трафик – HTTP немесе HTTPS сұрауынан тұратын және деректердің әдетте SOAP, WSDL, REST API немесе gRPC арқылы қолданбаға жіберілетінін көрсететін XML немесе JSON жауап мазмұны бар интернет трафигі (төменде қараңыз).
Dynamic Application Security Testing (DAST) – интерфейсті пайдалану арқылы қолданбаны немесе API серверін талдау процесі, қолданбаға арналған пайдаланушы интерфейсі немесе web алдыңғы жағы а web қолданба, немесе URLs API соңғы нүктелері үшін. Қара жәшікті тестілеу түрінде бұл тәсіл қолданбаны шабуылдаушы сияқты, әдетте ішкі процестерді білмей шабуылдау арқылы қолданбаны «сырттан кіру» арқылы бағалайды.
Static Application Security Testing (SAST) – қателер немесе осалдықтардың танылған үлгілері үшін бастапқы, екілік немесе байт кодты сканерлейтін қолданба қауіпсіздігіне көзқарас. Кейде ақ жәшік сынағы деп аталатын SAST сыртқы шабуылдаушы пайдаланатын немесе пайдаланбауы мүмкін ықтимал осалдықтар мен қателерді анықтайтын «іштен тыс» әдісті пайдаланады. Жеңіл статикалық құралдар IDE-де әзірлеушілерге нақты уақытта кері байланыс бере алады.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

5/23

Бұзылған нысан деңгейінің авторизациясы кең таралған және пайдалану оңай мәселе болып табылады web қолданбалар, себебі API қоңыраулары күй ақпаратын тасымалдайды. Қолданбалар пайдаланушыға API ішінде идентификаторды көрсету арқылы әрекеттерді орындауға рұқсат етсе, оларда сол әрекеттерді орындауға рұқсаты бар-жоғын тексерместен осал.

SOAP/WSDL – жасау үшін XML негізіндегі протокол Web API интерфейстері. SOAP протоколының өзі және WSDL (Web Service Definition Language) — қызметтерді ресми түрде сипаттау үшін пайдаланылатын пішім. Ауыр шығындарға байланысты бұл API стилі жаңа әзірлемелер үшін танымал емес болды.
ТАЛУ – А Web HTTP семантикасын пайдаланып HTTP арқылы тікелей хабар алмасуды қамтитын API стилі URLs және етістіктер, қосымша «конверт» қолданбай. Мазмұн әдетте JSON ретінде кодталады, бірақ кейбір жағдайларда ол XML болып табылады.
GraphQL – осы сұрауларды орындау үшін серверлік орындалу уақыттарымен бірге API интерфейстерінде (JSON ішіндегі сұраулар мен жауаптармен) пайдалануға арналған сұрау тілі. Бұл клиенттерге қажетті деректер құрылымын анықтауға, содан кейін оны серверден сол форматта алуға мүмкіндік береді.
gRPC – REST қарағанда өнімділігі жоғары API протоколы. Ол HTTP/2 және өнімділікті арттыруды пайдаланадыtagHTTP/1.1 арқылы ұсынатын es. Жеке хабарламалардың пішімі әдетте екілік болып табылады және ProtoBuf негізінде, қайта өнімділікті арттырадыtagREST және SOAP үстінде.

2023 API қауіпсіздік үздік 10

Аналогтық 2019 API қауіпсіздік жазбасы

API1:2023–Бұзылған нысан деңгейінің авторизациясы

API1:2019–Бұзылған нысан деңгейінің авторизациясы

API2:2023–Бұзылған аутентификация

API2:2019 – бұзылған пайдаланушы аутентификациясы

API3:2023–Бұзылған нысан сипаты деңгейінің авторизациясы

API3:2019–Деректердің шамадан тыс экспозициясы, API6:2019–Жаппай тағайындау

API4:2023 – Ресурстарды шектеусіз тұтыну

API4:2019 – Ресурстардың жетіспеушілігі және тарифтерді шектеу

API5:2023–Бұзылған функция деңгейінің авторизациясы

API5:2019–Бұзылған функция деңгейінің авторизациясы

API6:2023 – Сезімтал бизнес ағындарына шектеусіз қол жеткізу

API7:2023–Сервер тарапынан жалғандық сұрауы

API8:2023–Қауіпсіздік конфигурациясы API7:2019–Қауіпсіздік конфигурациясы

API9:2023 – Түгендеуді дұрыс емес басқару

API9:2019 – Активтерді дұрыс басқару

API10:2023 – API интерфейстерін қауіпті тұтыну

API8:2019–Инъекция, API10:2019–Тіркеу және бақылау жеткіліксіз

Source: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ Source: https://owasp.org/API-Security/editions/2019/en/0x11-t10/

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

6/23

Әзірлеушілер мен қолданбаның қауіпсіздік топтары аутентификация арқылы пайдаланушы идентификациясын тексеру мүмкіндіктерін де дұрыс енгізуі керек.

API1:2023–Бұзылған нысан деңгейінің авторизациясы
Бұл не?
API интерфейстері стандартталған қызметтер мен деректерге қол жеткізуге мүмкіндік береді web сұраулар. Бұл активтер жақсы қорғалмаған немесе рұқсатты бақылау нашар орындалған немесе болмаған кезде компаниялар өздерінің инфрақұрылымы мен деректерін қауіпсіз емес тікелей қол жеткізуге ұшыратады. Бұзылған нысан деңгейінің авторизациясы – сонымен қатар қауіпсіз емес тікелей нысан сілтемесі (IDOR) деп аталады – деректерді ашудан бастап толық есептік жазбаны басып алуға дейін әртүрлі тәуекелдерге әкелуі мүмкін.
Қолданбаны осал ететін не?
Бұл кең таралған және пайдалану оңай мәселе web қолданбалар. Қолданбалар пайдаланушыға API ішінде идентификаторды көрсету арқылы әрекеттерді орындауға рұқсат етсе, оларда сол әрекеттерді орындауға рұқсаты бар-жоғын тексерместен осал.
Бұрынғыдаample OWASP егжей-тегжейлі, интернет-дүкендерге арналған платформа қарапайым қоңырау арқылы дүкен деректеріне қол жеткізуге мүмкіндік береді:
/shops/{shopName}/revenue _ data.json
Бұл қауіпті, себебі кез келген пайдаланушы shopName атауын басқа пайдаланушының дүкенінің атымен ауыстырып, оларда болмауы керек деректерге қол жеткізе алады.
Шабуыл бұрынғыamples
2021 жылы қауіпсіздік зерттеушісі web-Пелотон жаттығу велосипедтеріне деректер беретін қолданба мен сервер серверлерінде аутентификацияланбаған пайдаланушыларға жеке деректерге қол жеткізуге мүмкіндік беретін бірнеше API соңғы нүктелері болды. 2021 жылдың ақпан айында Peloton аутентификацияланған пайдаланушыларға API қолжетімділігін шектейтін мәселені ішінара түзетуді жүзеге асырды, бірақ сол пайдаланушыларға басқа мүшелер үшін кез келген жеке деректерге қол жеткізуге мүмкіндік берді. Толық түзету 2021.10 мамырда келді
Әзірлеуші ретінде оны қалай болдырмауға болады?
Әзірлеушілер қатаң бақылауды күшейту, тіркелгілерді санамау үшін болжанбайтын пайдаланушы идентификаторларын тағайындау және деректер көзіне қатынасатын әрбір функция үшін нысан деңгейіндегі авторизацияны тексеру арқылы нысандарға қауіпсіз қол жеткізуді болдырмайды. Әзірлеушілер мұндай тексерулерді, әсіресе пайдаланушы енгізуіне негізделген болса, абайсызда болатын қателер қауіпсіздікке нұқсан келтіру мүмкіндігін жою үшін инкапсуляциялауы керек. Қолданба қауіпсіздігі және операциялық мамандар сервер деректеріне әрбір сұрау үшін авторизацияны тексеруді талап етуі керек.
OpenText қалай көмектесе алады?
OpenTextTM статикалық қолданба қауіпсіздігін тексеру (SAST) және OpenTextTM динамикалық қолданба қауіпсіздігін тексеру (DAST) Қауіпсіз тікелей нысан сілтемесі (IDOR) санатындағы осалдықтардың кең ауқымын анықтай алады. IDOR каталогтарды аралау сияқты осалдықтарды қамтуы мүмкін. File Жүктеп салу және File Қосылу. Жалпы алғанда, IDOR идентификаторлары бар осалдықтардың сыныптарын қамтиды
10 Masters, қаңтар. Тур де Пелотон: Ашық пайдаланушы деректері. Қалам сынағы серіктестерінің блогы. Қалам сынағы серіктестері. Web Бет. 5 мамыр 2021 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

7/23

Әзірлеушілер мен қолданбаның қауіпсіздік топтары аутентификация арқылы пайдаланушы идентификациясын тексеру мүмкіндіктерін де дұрыс енгізуі керек.

арқылы өзгертуге болады URL, Дене немесе Тақырыппен манипуляция. Жүйе әзірлеушілерді пайдаланушы дерекқор немесе сақтау контейнері үшін API сұрауында бастапқы кілтті тікелей таңдай алатын жағдайлар туралы ескертеді, бұл осалдықтардың осы сыныбына жиі әкелетін мәселе. Жүйе сондай-ақ күтілетін рұқсат тексеруі болмаған кезде ескертеді.
API2:2023–Бұзылған аутентификация
Бұл не?
Авторизацияны тексеру белгілі рөлдерге немесе пайдаланушыларға негізделген деректерге қол жеткізуді шектейді, бірақ бұл шектеулер жүйелерді, деректерді және қызметтерді қорғау үшін жеткіліксіз. Әзірлеушілер мен қолданбаның қауіпсіздік топтары аутентификация арқылы пайдаланушы идентификациясын тексеру мүмкіндіктерін де дұрыс енгізуі керек. Аутентификацияның сыни сипатына қарамастан, құрамдас бөліктер жиі нашар орындалады немесе дұрыс пайдаланылмайды – бұзылған пайдаланушы аутентификациясының негізгі себептері. Бұзылған пайдаланушының аутентификациясы шабуылдаушыларға қауіпсіз емес аутентификация таңбалауыштарын пайдалану немесе іске асыру кемшіліктерін бұзу арқылы басқа пайдаланушының сәйкестіктерін уақытша немесе тұрақты қабылдау мүмкіндігін береді.
Қолданбаны осал ететін не?
Бұл кең таралған және пайдалану оңай мәселе аутентификация күрделі процесс болғандықтан туындайды, ол түсініксіз болуы мүмкін және анықтамасы бойынша көпшілікке ашық болады. Әзірлеуші қателері және қолданбаның қате конфигурациялары шабуылдаушыларға аутентификацияны болдырмауға мүмкіндік беретін қажетті тексерулердің болмауына әкелуі мүмкін. Белгілі бір соңғы нүкте үшін аутентификацияны жүзеге асыра алмаған немесе аутентификацияның әлсіз механизміне рұқсат беретін әзірлеушілер қолданбаларды тіркелгі деректерін толтыру, таңбалауышты қайта ойнату немесе құпия сөзді анықтау сияқты әртүрлі шабуылдарға ұшыратады.
Шабуыл бұрынғыamples
2023 жылдың ақпан-маусым айлары аралығында тіркелгі деректерін толтыру шабуылдары киім сататын Hot Topic-ке бағытталған, ол өз тұтынушыларына белгісіз санының тіркелгілері бұзылғанын хабарлады. Шабуыл жасаушылар белгісіз көздерден алынған тіркелгі деректерін пайдалана отырып, тұтынушылардың аттары, электрондық пошта мекенжайлары, тапсырыстар тарихы, телефон нөмірлері, туған айлар мен күндер сияқты құпия жеке деректерге қол жеткізе алды.11
2022 жылдың ақпанында дұрыс конфигурацияланбаған бұлтты сақтау шелегі Beetle Eye электрондық пошта маркетингтік қызметінің 1 ГБ құпия деректерін құпия сөзді қорғаусыз немесе шифрлаусыз қалдырды. Деректер әртүрлі туристік агенттіктер мен АҚШ штаттары жинаған байланыс ақпараты мен туризмге қатысты ақпаратты қамтиды.12 Қате конфигурацияланбаған аутентификация механизмдері бұзылған пайдаланушы аутентификациясы санатының нұсқасы ретінде қарастырылады.
Әзірлеуші ретінде оны қалай болдырмауға болады?
11 Тулас, Билл. Hot Topic бөлшек сауда желісі тіркелгі деректерін толтыру шабуылдарының толқынын ашады. BleepingComputer. Жаңалық мақаласы. 1 жылдың 2023 тамызы.
12 Наир, Пражит. АҚШ маркетингтік платформасы арқылы 7 миллион адамның деректері ашылды. Бүгінгі деректерді бұзу. ISMG желісі. 11 ақпан 2022 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

8/23

Стандарттау - аутентификация үшін сіздің досыңыз. DevSecOps командалары қолданбалар үшін аутентификация әдістерінің бір немесе шектеулі санын жасап, әзірлеушілердің барлық микросервистер мен API интерфейстерінде механизмдерді біркелкі енгізуін қамтамасыз етуі керек.

Стандарттау - аутентификация үшін сіздің досыңыз. DevSecOps командалары қолданбалар үшін аутентификация әдістерінің бір немесе шектеулі санын жасап, әзірлеушілердің барлық микросервистерде және API интерфейстерінде механизмдерді біркелкі енгізуін қамтамасыз етуі керек. Кез келген аутентификацияны іске асыру қайта болуы керекviewOWASP қолданбасының қауіпсіздігін тексеру стандартының (ASVS) контекстінде, қазіргі уақытта 4,13 нұсқасында орындалған және онымен байланысты қауіпсіздікті басқару дұрыстығын қамтамасыз ету үшін жасалған. Стандарттан кез келген ауытқуды, әсіресе аутентификацияланбаған соңғы нүктелердің кез келген әдейі әсер етуін қауіпсіздік тобы бағалауы керек және тек күшті бизнес талаптарын қанағаттандыруға рұқсат беруі керек.
OpenText қалай көмектесе алады?
OAuth және JWT - API интерфейстерін енгізу үшін қолданылатын аутентификацияның ең көп тараған екі түрі және OpenText динамикалық қолданбалы қауіпсіздік тесті қолданбалардағы екі стандарттың әлсіз іске асырылуын, сондай-ақ теңшелетін аутентификацияны іске асыруда пайда болатын CSRF және Session Fixation сияқты қате конфигурациялар мен осал үлгілерді тексереді. OpenText арқылы динамикалық қолданба қауіпсіздігі құралын (DAST) сканерлеу, әсіресе API интерфейсінде аутентификация осалдықтарын анықтаудың тамаша тәсілі болып табылады.
OpenText статикалық қолданбалы қауіпсіздік сынағы нашар аутентификацияға қатысты кең ауқымды тексерулерге мүмкіндік береді. Статикалық талдау құралы тіркелгі деректерінің ағып кетуі сияқты жалпы мәселелерді, сондай-ақ JWT таңбалауыштарындағы қорғаныс талаптарының жоқтығы немесе JWT тақырыптарында орын алған шағымдар сияқты жоғары API-арнайы мәселелерді анықтауды қамтиды.
API3:2023–Бұзылған нысан сипаты деңгейінің авторизациясы
Бұл не?
Бұзылған нысан сипаты деңгейінің авторизациясы — алдыңғы тізімдегі екі санатты біріктіретін 2023 жылғы OWASP тізіміндегі жаңа санат: деректердің шамадан тыс экспозициясы (API3:2019) және жаппай тағайындау (API6:2019). Мәселе пайдаланушы авторизациясының расталмауынан немесе объект-сипат деңгейінде пайдаланушының дұрыс емес авторизациясынан туындайды. API соңғы нүктелері әрбір пайдаланушының қол жеткізуге немесе өзгертуге тырысатын әрбір сипатқа рұқсаты бар екенін тексеруі керек. Мәселені пайдалану ақпараттың ашылуына немесе рұқсат етілмеген тараптардың деректермен айла-шарғы жасауына әкелуі мүмкін.
Қолданбаны осал ететін не?
Жалпы және пайдалану оңай мәселе пайдаланушыға саяхат қолданбасында бөлмені брондау сияқты белгілі бір нысанның кейбір сипаттарына кіру рұқсаты болған кезде орын алады, бірақ басқаларға емес, мысалы, бөлменің бағасы. Пайдаланушы API арқылы нысанның сипаттарына қол жеткізген кезде, қолданба пайдаланушы мынаны тексеруі керек:
· Нысанның нақты қасиетіне қол жеткізу мүмкіндігі болуы керек
13 OWASP қолданбасының қауіпсіздігін тексеру стандарты. OWASP. GitHub беті. Соңғы рұқсат: 17 қараша 2023 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

9/23

Бұзылған нысан сипаты деңгейінің авторизациясы — алдыңғы тізімдегі екі санатты біріктіретін 2023 жылғы OWASP тізіміндегі жаңа санат: деректердің шамадан тыс экспозициясы (API3:2019) және жаппай тағайындау (API6:2019).
OpenTextTM Статикалық қолданбалы қауіпсіздік сынағы деректер ағынын талдау арқылы шамадан тыс деректер экспозициясын және жаппай тағайындауды болдырмауға көмектеседі. Жүйе айнымалы атауларға немесе белгілі бір API шақыруларына негізделген көптеген жеке деректер көздерін бөлектейді және жаппай тағайындауға мүмкіндік беретін нысандарды анықтайды.

(бұзушылықтар бұрын деректердің шамадан тыс экспозициясы ретінде белгілі) және/немесе
· Нысанның нақты қасиетін өзгертуге рұқсат етіледі (кейбір қолданбалар мұны тексермейді, себебі олар автоматты түрде салыстыру үшін негізді пайдаланады web нысан өрістеріне параметрлерді сұрау, Массалық тағайындау ретінде белгілі мәселе).
OWASP-де бұрынғыample, онлайн бейне платформасы пайдаланушыға бейненің, тіпті бұғатталған бейненің сипаттамасын өзгертуге мүмкіндік береді, бірақ пайдаланушыға «блокталған» сипатын өзгертуге рұқсат бермеуі керек.
PUT /api/video/update _ бейне
{
«сипаттама»: «мысықтар туралы күлкілі бейне»,
«блокталған»: жалған
}
Шабуыл бұрынғыamples
2022 жылдың қаңтарында қателерді марапаттау бағдарламасы Twitter жүйесінде пайдаланушыға Twitter жүйесіне электрондық пошта мекенжайын немесе телефон нөмірін жіберуге мүмкіндік беретін ақауды анықтады, содан кейін ол ақпарат тиесілі тіркелгі атын қайтарады.14 Белгісіз шабуылдаушы бұл кемшілікті телефон нөмірлері мен электрондық пошта мекенжайларына байланысты миллиондаған пайдаланушы тіркелгілерінің тізімін жасау үшін пайдаланды. Кез келген адамға екі мүлікті байланыстыруға рұқсат бере отырып, Twitter абайсызда бүркеншік аты бар пайдаланушыларды нақтырақ анықтауға мүмкіндік берді.
Әзірлеуші ретінде оны қалай болдырмауға болады?
Әзірлеушілер әрқашан белгілі бір нысан сипаттарына қол жеткізу немесе өзгерту мүмкіндігіне тиісті басқару элементтерін енгізуі керек. to_json() және to_string() сияқты жалпы әдістермен жиі болатын әрбір сипаты бар жалпы деректер құрылымын қайтарудың орнына, бағдарламашылар қай ақпаратты қайтаратынында өте нақты болуы керек. Қауіпсіздіктің қосымша шарасы ретінде қолданбалар API әдістерімен қайтарылған барлық деректерде қауіпсіздікті басқаруды қамтамасыз ететін схемаға негізделген жауапты тексеруді жүзеге асыруы керек. Қатынас ең аз артықшылықтар қағидаттарын ұстануы керек, тек аса қажет болған жағдайда ғана рұқсат беру.
OpenText қалай көмектесе алады?
OpenTextTM Статикалық қолданбалы қауіпсіздік сынағы деректер ағынын талдау арқылы шамадан тыс деректер экспозициясын және жаппай тағайындауды болдырмауға көмектеседі. Жүйе айнымалы атауларға немесе белгілі бір API шақыруларына негізделген көптеген жеке деректер көздерін бөлектейді және жаппай тағайындауға мүмкіндік беретін нысандарды анықтайды. Пайдаланушылар өздерінің дереккөздерін де анықтай алады, бағдарлама арқылы деректерді қадағалай алады және егер ол орынсыз жерде аяқталса, әзірлеушіге немесе операторға қауіп туралы ескертеді.

14 Twitter-дегі кейбір тіркелгілерге және жеке ақпаратқа әсер ететін оқиға. Twitter құпиялылық орталығы. Twitter. Web Бет. 5 жылғы 2022 тамыз.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

10/23

Сұрауды қанағаттандыру үшін тағайындалған ресурстарды шектемейтін қолданбалар осал болуы мүмкін, соның ішінде бөлінетін жадты шектей алмайтындар, fileбасқа атрибуттардың арасында рұқсат етілген s немесе процестер немесе рұқсат етілген сұраулар жылдамдығы.

Сонымен қатар, OpenText SAST ең маңызды JSON және XML сериялау және сериядан шығару механизмдерін біледі. Осыны пайдалана отырып, құрал оның атрибуттарын жаппай тағайындауға мүмкіндік беретін домен тасымалдау нысандарын (DTO) дұрыс сериядан шығармайтын кодты анықтай алады. Ақпараттың әсер етуінің және жаппай тағайындалуының кейбір жағдайларын OpenText динамикалық қолданбалы қауіпсіздік сынағы арқылы да анықтауға болады. Соңында, кейбір қарсы шаралар ережелерді қосу арқылы жүзеге асырылуы мүмкін web қолданбалы желіаралық қалқан (WAF).
API4:2023 – Ресурстарды шектеусіз тұтыну
Бұл не?
API интерфейстері көптеген пайдалы бизнес функцияларын көрсетеді. Мұны істеу үшін олар дерекқор серверлері сияқты есептеу ресурстарын пайдаланады немесе операциялық технология арқылы физикалық құрамдасқа қол жеткізе алады. Жүйелерде API қоңырауларына жауап беретін ресурстардың шектеулі жиынтығы болғандықтан, шабуылдаушылар ресурстардың таусылуына, қызмет көрсетуден бас тартуға немесе бизнес шығындарының өсуіне әкелетін сценарийлерді жасау үшін арнайы сұраулар жасай алады. Көптеген жағдайларда шабуылдаушылар маңызды ресурстарды байланыстыратын API сұрауларын жібере алады, бұл құрылғыны немесе өткізу қабілеттілігі ресурстарын басып шығарады және қызмет көрсетуден бас тарту шабуылына әкеледі. Әртүрлі IP мекенжайларынан немесе бұлт даналарынан қайталанатын сұрауларды жіберу арқылы шабуылдаушылар пайдаланудағы күдікті өсулерді анықтауға арналған қорғанысты айналып өте алады.
Қолданбаны осал ететін не?
API requests trigger responses. Whether those responses involve accessing a database, performing I/O, running calculations, or (increasingly) generating the output from a machine-learning model, APIs use computing, network, and memory resources. An attacker can send API requests to an endpoint as part of a denial-of-service (DoS) attack that, rather than overwhelm bandwidth–the goal of a volumetric DoS attack–instead exhaust CPU, memory, and cloud resources. Applications that do not limit the resources assigned to satisfy a request can be vulnerable, including those that fail to restrict allocable memory, number of fileбасқа атрибуттардың арасында рұқсат етілген s немесе процестер немесе рұқсат етілген сұраулар жылдамдығы.
Жад пен жұмыс жүктемелерінің шамадан тыс бөлінуін, API іске қосатын операцияларға шамадан тыс сұрауларды немесе шығыс шектеусіз үшінші тарап қызметі үшін шамадан тыс ақыларды болдырмау үшін серверді өңдеу API интерфейсінде шектеулер болуы керек.
A common attack is to modify the arguments passed to the API endpoint, such as increasing the size of the response and requesting millions of database entries, rather than, say, the first ten:
/api/users?page=1&size=1000000
Бұған қоса, егер шабуылдаушы пайдаланғаны үшін ақы алатын сервер қызметіне қол жеткізе алса, ресурсты тұтыну шабуылдары қолданба иесі үшін ақы алу үшін пайдаланылуы мүмкін. Басқа OWASP бұрынғыample жеке басын растау үшін SMS мәтіндік хабарын пайдаланатын және жәбірленушінің шығындарын арттыру үшін мыңдаған рет қоңырау шалуға болатын құпия сөзді қалпына келтіру мүмкіндігін көрсетеді.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

11/23

Жұптастырылған мазмұнды жеткізу желілерін (CDNs) пайдаланып желінің шетінде сүзу web қолданбалы брандмауэрлер (WAF) жеке пайдаланушыларға әсер етуді азайта отырып, трафик тасқынын азайта алады.

POST /sms/send _ ысыру _ өту _ код
Хост: willyo.net {
«телефон _ нөмірі»: «6501113434» }
Шабуыл бұрынғыamples
Ресурстарды тұтынуға арналған шабуылдар көбінесе өнімділік пен қолжетімділік мәселелерімен байланысты болғандықтан, мақсатты компаниялар оларды хабарлауды қажет ететін оқиғалардан гөрі бизнесті жүргізу құнының бөлігі ретінде қарастырады, бұл қауіптің көрінуін азайтады. 2022 жылы API ресурстарын тұтыну шабуылдарының жоғарғы жиынтығы болып табылатын қолданба деңгейіндегі таратылған қызмет көрсетуден бас тарту (DDoS) шабуылдары барлық шабуылдардың үлесі ретінде төмендеді, бірақ 4 жылдың 2022-тоқсанында өткен жылдың осы тоқсанымен салыстырғанда әлі де шабуылдар 79%-ға көп тіркелді.15
2015 жылы сипатталған бір шабуылда әзірлеуші өз сайтына қайта-қайта хабарласқан Android клиентін анықтады. Web Кездейсоқ жасалған API кілттері бар API, қызмет көрсетуден бас тарту шабуылына әкеледі. Әзірлеуші Android құрылғыларында орнатылған зиянды қолданба 64 биттік API кілтін болжауға әрекеттенді деген болжам жасады.16
Әзірлеуші ретінде оны қалай болдырмауға болады?
Қарқынды шектеулер мен шекті пайдалану арқылы ресурстарды тұтыну шабуылдарының көпшілігін жоюға болады, дегенмен заңды трафикке нашар құрылған қорғаныс әсер етуі мүмкін. Арнайы шектеулер мыналарға орнатылуы керек:
· Жадты бөлу
· Процестер
· Бұлттық даналары
· Жүктелген file дескрипторлар және file өлшемі
· Жазбалар қайтарылды
· Үшінші тарап қызметтеріне төленген транзакциялар саны
· Барлық кіріс параметрлері (мысалы, жол ұзындығы, массив ұзындығы және т.б.)
· Белгілі бір уақыт терезесінде бір клиентке API өзара әрекеттесулерінің саны
Жұптастырылған мазмұнды жеткізу желілерін (CDNs) пайдаланып желінің шетінде сүзу web қолданбалы брандмауэрлер (WAF) жеке пайдаланушыларға әсер етуді азайта отырып, трафик тасқынын азайта алады. Қолданбаларды жеткізу платформалары жадқа, процессорларға және процестерге шектеулерді қоса, оңай сүзуге мүмкіндік береді.
15 Йоахимик, Омер. 2022 жылдың 4-тоқсанына арналған Cloudflare DDoS қаупі туралы есеп. Cloudflare блогы. Web Бет. 10 қаңтар 2023 ж.
16 Hack/DOS шабуылын қалай тоқтатуға болады web API. StackOverflow. Web Бет. 15 қыркүйек 2015 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

12/23

OpenText динамикалық қолданбалы қауіпсіздік тесті серверлер мен API функцияларын қызметке әсер етпестен, қызмет көрсетуден бас тарту шабуылының осалдығына тексере алады. Бұған қоса, DAST сканерлеуін іске қосу әрекетінің өзі ресурстарды тұтынудың ықтимал әлсіз жақтарын көрсету үшін жеткілікті ортаны стресстік сынауға болады.

OpenText қалай көмектесе алады?
OpenText SAST және OpenText динамикалық қолданбалы қауіпсіздік сынағы арқылы DevSecOps командалары өздерінің коды мен инфрақұрылымын ресурстардың таусылуы шабуылдарына төзімділік үшін тексере алады. OpenText SAST, шабуылдаушы ресурстарды шектен тыс тұтынуды жасау үшін қолданба логикасын теріс пайдалана алатын көптеген аймақтарды анықтай алады.
Қолданбадағы бұл мәселені шешу үшін код деңгейіндегі қауіпсіздік жеткіліксіз. Ресурстардың сарқылуы және жылдамдықты шектеу - жұмыс уақытында азайтылуы керек қызмет көрсетуден бас тарту шабуылдарының арнайы ішкі сегменттері. OpenText динамикалық қолданбалы қауіпсіздік сынағы серверлер мен API функцияларын қызметке әсер етпестен, қызмет көрсетуден бас тарту шабуылының осалдығына тексере алады. Бұған қоса, DAST сканерлеуін іске қосу әрекетінің өзі ресурстарды тұтынудың ықтимал әлсіз жақтарын көрсету үшін жеткілікті ортаны стресстік сынауға болады.
API5:2023–Бұзылған функция деңгейінің авторизациясы
Бұл не?
Заманауи қолданба деректерге қол жеткізетін, жасайтын, өңдейтін, жойатын және басқаратын көптеген әртүрлі функцияларға ие. Әрбір қолданба пайдаланушысы әрбір функцияға немесе барлық деректерге қол жеткізуді қажет етпейді және оған ең аз артықшылық принципі бойынша рұқсат берілмеуі керек. Әрбір API соңғы нүктесінде анонимді, тұрақты артықшылықсыз және артықшылықты пайдаланушыларды қамтуы мүмкін мақсатты аудитория болады. Әкімшілік және басқару функциялары артықшылықты авторизацияны қажет етуі керек, бірақ кейде рұқсаты жоқ пайдаланушының заңды API қоңыраулары арқылы қол жетімді болады – бұзылған функция деңгейі авторизациясының бастауы. Әртүрлі иерархиялар, топтар және рөлдер қол жеткізуді басқару құралдарында күрделілік тудыратындықтан, қолданбалар функцияларында оларды кім шақыра алатынына қатысты тиісті шектеулер болмауы мүмкін.
Қолданбаны осал ететін не?
Арнайы функцияларға әкімшілік тапсырмаларды орындауға мүмкіндік беретін қолданбалар бұл функцияларға қауіпсіз жолмен кіруді шектемеуі мүмкін. Осындай функциялармен тікелей салыстырылатын API интерфейстері сол әлсіздіктерді пайдалануға әкеледі. Қолданбаның аутентификациясы мен авторизация механизмін пайдаланбайтын функциялар қауіпсіздіктің ықтимал әлсіз жақтары ретінде қарастырылуы керек.
БұрынғыдаampOWASP сілтеме жасағандай, шабуылдаушы шақырылған пайдаланушыны жаңа мобильді қолданбаға қосу үшін API сұрауларына рұқсат алады, бұл шақыруда шақырушы рөлі туралы ақпаратты қамтитынын ескертеді. Әлсіздікті пайдаланып, шабуылдаушы жаңа шақыру жібереді:
POST /api/invites/new
{
“электрондық пошта”: “attacker@somehost.com”,
«рөл»:»әкімші»
} Бұл оларға жүйеде әкімшілік артықшылықтарды алуға мүмкіндік береді.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

13/23

DevSecOps командалары әдепкі бойынша сұрауларға қол жеткізуді болдырмайтын авторизация мен аутентификацияға стандартты тәсілді әзірлеуі керек, әдепкі бойынша «барлығын қабылдамау» әдепкі мәнін енгізеді.
Қолданбаларды басқару және логикалық ағындар кез келген онлайн бизнестің жүрегі болып табылады және компаниялар өздерінің операцияларының көбін бұлтқа көшірген сайын, бұл ағындар ашылып, пайдаланылуы мүмкін. Бұл шамадан тыс қолжетімділік бизнеске зиян келтіруі мүмкін.

Шабуыл бұрынғыamples
2022 жылы Техастың сақтандыру департаменті жұртшылыққа екі миллионға жуық техсандықтардың ақпараты жұмысшылардың өтемақы төлеу туралы өтінішінің бір бөлігі арқылы әшкере болғанын хабарлады, бұл жұртшылық мүшелеріне қорғалған деректерге қол жеткізуге байқаусызда мүмкіндік берді.17 2022 жылы болған екінші оқиғада австралиялық Optus телекоммуникация фирмасы Австралияның көптеген пайдаланушылары туралы жеке және есептік жазба ақпаратын талап етпегенін мойындады. аутентификация немесе авторизация. Optus шабуылды «күрделі» деп атаса, шабуылдың егжей-тегжейлерімен таныс қауіпсіздік зерттеушісі оны «ұсақ» деп сипаттады10.
Әзірлеуші ретінде оны қалай болдырмауға болады?
DevSecOps командалары әдепкі бойынша сұрауларға қол жеткізуді болдырмайтын аутентификация мен авторизацияның стандартты тәсілін әзірлеуі керек, әдепкі бойынша «барлығын қабылдамау». Бұл әдепкіден рөлдерге/топтарға/пайдаланушыларға рұқсатты анықтау кезінде әрқашан ең аз артықшылықтар принципін қолданыңыз. Әзірлеушілер әрбір API соңғы нүктесіне қатысты барлық сәйкес HTTP етістіктері/әдістері (мысалы, POST, GET, PUT, PATCH, DELETE) үшін аутентификация мен авторизацияның болуын қамтамасыз етуі керек. Сәйкес емес етістіктерге жол бермеу керек. Бұған қоса, әзірлеушілер рұқсат беруден бұрын авторизацияны басқару элементтері пайдаланушының рөлін тексеретініне көз жеткізу үшін сынып мұрасын пайдалана отырып, әкімшілік қатынасу және басқару үшін базалық сыныпты енгізуі керек. Барлық маңызды әкімшілік функциялар артықшылықтардың артуына жол бермеу үшін рұқсат беру механизмін пайдалануы керек.
OpenText қалай көмектесе алады?
OpenTextTM Static Application Security Testing статикалық кодты және API талдау мүмкіндіктерін OpenText Dynamic Application Security Testing (DAST) жиынтығының орындалу уақытын тексерулерімен біріктіру арқылы DevSecOps топтары қолданбасын бұзылған функция деңгейіндегі авторизация мәселелері үшін бағалай алады және орналастыру алдында қауіпсіздіктің әлсіз жақтары үшін өндірістік кодты үздіксіз тексере алады. Бұзылған нысан функциясының авторизация мәселелерін анықтау үшін OpenTextTM статикалық қолданба қауіпсіздігін тексеру белгілі бір бағдарламалау тілдері мен шеңберлерінде авторизацияны тексеру қашан күтілетінін көрсететін ережелерді пайдаланады және мұндай тексерудің жоқтығы хабарланады.
API6:2023 – Сезімтал бизнес ағындарына шектеусіз қол жеткізу
Бұл не?
Кроссовкалардан бастап билет боттарына дейін, олардың API интерфейстері арқылы онлайн-сатушылар түгендеуіне жасалған шабуылдар электрондық коммерция сайттары үшін маңызды мәселеге айналды. Бизнес үлгісін және қолданба логикасын түсіну арқылы шабуылдаушы автоматты түрде резервтеуге немесе сатып алуға болатын API қоңырауларының қатарын жасай алады.
17 Биферман, Джейсон. Сақтандыру департаменті шағымдары бар 1.8 миллион техсандықтың жеке ақпараты жылдар бойы әшкере болды, дейді аудит. Техас трибунасы. 17 мамыр 2022 ж.
18 Тейлор, Джош. Optus деректерінің бұзылуы: болған оқиға туралы біз білетін барлық нәрсе. The Guardian. 28 қыркүйек 2022 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

14/23

Сезімтал бизнес ағындарына шектеусіз қол жеткізуді болдырмау қолданба қауіпсіздігіне тұтас көзқарас туралы көбірек, ал нақты технологияны табу туралы азырақ.

түгендеу, осылайша басқа, заңды тұтынушылардың кәсіпорындардың өнімдеріне немесе қызметтеріне қол жеткізуіне жол бермейді. Бизнес процесіне қол жеткізуге мүмкіндік беретін кез келген API шабуылдаушы бизнеске әсер ету үшін пайдалана алады және сезімтал бизнес ағындарына шектеусіз қол жеткізу анықтамасына жатады.
Қолданбаны осал ететін не?
Қолданбаларды басқару және логикалық ағындар кез келген онлайн бизнестің жүрегі болып табылады және компаниялар өздерінің операцияларының көбін бұлтқа көшірген сайын, бұл ағындар ашылып, пайдаланылуы мүмкін. Зиянкестер өнімдерді сатып алуды автоматтандырғанда, пікірлер қалдыру үшін боттарды жасап, қайта құру кезінде бұл шамадан тыс рұқсат бизнеске зиян келтіруі мүмкін.views немесе тауарларды немесе қызметтерді брондауды автоматтандыру.
Егер қолданба соңғы нүктенің артындағы бизнес операцияларына кіруді шектемей, компанияның бизнес ағынына қатынасы бар соңғы нүктені ұсынса, қолданба осал болады. Қорғауларға саусақ ізі арқылы бір құрылғыдан кіру әрекеттерінің санын шектеу, әрекеттің адам актерінен шыққанын анықтау және автоматтандырудың қатысы бар-жоғын анықтау кіреді.
Шабуыл бұрынғыamples
Taylor Swift билеттері Ticketmaster сайтында 2022 жылдың қарашасында сатылған кезде, 1.5 миллион тұтынушы алдын ала тіркелген, бірақ 14 миллионнан астам сұраныс, соның ішінде үш есе көп бот трафигі – swamped the purchasing links and APIs as soon as ticket sales opened. The site crashed, preventing many customers from purchasing tickets.19
Деллерлік боттардың шабуылы 5 жылдың қарашасында PlayStation 2020 шығарылымын бұзғандарға ұқсады. Жеткізілім тізбегіндегі мәселелер соңғы Sony ойын консолі шығарылғанға дейін шектелген болатын, бірақ автоматтандырылған боттар қолжетімді бірліктерді табуды қиындатып, астрономиялық қайта сату бағасына әкелді. Электрондық коммерция сайтының бірінде "себетке қосу" транзакцияларының саны орташа есеппен сағатына 15,000 27 сұраудан 20 миллионнан астамға дейін өсті, дүкен API арқылы SKU нөмірі бойынша өнімдерді тікелей сұрау үшін.XNUMX
Әзірлеуші ретінде оны қалай болдырмауға болады?
Әзірлеушілер бизнес ағындарына ықтимал зиянды қол жеткізу мәселелерін шешу үшін бизнес-операциялық және инженерлік топтармен жұмыс істеуі керек. Іскерлік топтар API интерфейстері арқылы қандай ағындарға ұшырайтынын анықтай алады және шабуылдаушылар сол соңғы нүктелерді қалай теріс пайдаланатынын анықтау үшін қауіп талдауларын жүргізе алады. Әзірлеушілер қосымша техникалық қорғаныс шараларын орнату үшін DevOps командасының бөлігі ретінде инженерлік операциялармен жұмыс істеуі керек, мысалы, автоматтандырылған шолғыш даналарының шамадан тыс асып кетуіне жол бермеу үшін құрылғының саусақ ізін пайдалану және адам мен машина актерлерін ажырататын мінез-құлық үлгілерін анықтау.
19 Стил, Билли. Ticketmaster оның бот мәселесі бар екенін біледі, бірақ Конгресс оны жөндегенін қалайды. Engadget. Жаңалықтар мақаласы. 24 қаңтар 2023 ж.
20 Муванди, Тафара және Уорбертон, Дэвид. Миллиондаған ойыншыларға арналған PlayStation 5-ті боттар қалай бұзды. F5 Labs блогы. F5. Web Бет. 18 жылғы 2023 наурыз.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

15/23

Ең танымал эксampSSRF шабуылына бұрынғы Amazon қатысты Web Қате конфигурацияланғанды пайдаланған Қызметтер (AWS) инженері web содан кейін Capital One қаржылық алпауытына жататын сервер данасында деректерді жинау үшін SSRF ақауын пайдалану үшін қолданба брандмауэрін (WAF).

Операциялық топтар да қайталануы керекview B2B қолдану жағдайлары сияқты басқа машиналармен пайдалануға арналған кез келген API интерфейстері және шабуылдаушылар машинадан машинаға өзара әрекеттесулерді пайдалануын болдырмау үшін кейбір қорғаныстардың болуын қамтамасыз етіңіз.
OpenText қалай көмектесе алады?
Әлсіз және сезімтал бизнес ағындарын ұстау көбінесе негіздерді орындауға байланысты. Компаниялар өздерінің барлық жұмыс істейтін API интерфейстерін құжаттап, қадағалап, олардың қайсысы ықтимал шабуылдаушыларға сезімтал процестер мен деректерді көрсететінін анықтауы керек. Қолданба логикасын шабуылдаушылар пайдалануы мүмкін логикалық кемшіліктерге де талдау қажет.
Тұтастай алғанда, сезімтал бизнес ағындарына шектеусіз қол жеткізуді болдырмау қолданба қауіпсіздігіне тұтас көзқарас туралы көбірек, ал нақты технологияны табу туралы азырақ.
API7:2023–Сервер тарапынан жалғандық сұрауы
Бұл не?
Backend серверлері API соңғы нүктелері арқылы жасалған сұрауларды өңдейді. Сервер тарапындағы сұрауды жалған жасау (SSRF) – шабуылдаушыға серверді өз атынан және сервер артықшылық деңгейімен сұрауларды жіберуге итермелеуге мүмкіндік беретін осалдық. Көбінесе шабуыл сыртқы шабуылдаушы мен ішкі желі арасындағы алшақтықты жою үшін серверді пайдаланады. Негізгі SSRF шабуылдары шабуылдаушыға қайтарылған жауапқа әкеледі, бұл соқыр SSRF шабуылдарына қарағанда әлдеқайда оңай сценарий, мұнда жауап қайтарылмайды, шабуылдаушы шабуылдың сәтті болғанын растамайды.
Қолданбаны осал ететін не?
Сервер тарапындағы сұрауды қолдан жасау (SSRF) кемшіліктері негізінен пайдаланушы берген енгізуді тексерудің болмауының нәтижесі болып табылады. Шабуылшылар сұрауларды жасай алады және мақсатты қолданбаға кіруді қамтамасыз ететін URI қоса алады.
сияқты қолданбаларды әзірлеудегі заманауи тұжырымдамалар webілгектер мен стандартталған қолданбалы құрылымдар, OWASP сәйкес SSRF-ті жиірек және қауіпті етеді.
БұрынғыдаampПайдаланушыларға кәсіпқойларды жүктеп салуға мүмкіндік беретін әлеуметтік желі OWASP келтірдіfile сервер қолданбаға жіберілген аргументтерді растамаса, суреттер SSRF-ге осал болуы мүмкін. А қарағанда URL суретке нұсқау, мысалы:
POST /api/profile/ жүктеп салу _ сурет
{
«сурет _ url”: “http://example.com/profile _ pic.jpg»
}
Шабуылдаушы келесі API қоңырауын пайдаланып белгілі бір порттың ашық екенін анықтай алатын URI жібере алады:
{ "сурет _ url”: “localhost:8080”
}

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

16/23

Қауіпсіздік конфигурациясы осал әдепкі конфигурациялары бар қолданбаларды орнатуды, құпия функциялар мен деректерге тым рұқсат етілген кіруге рұқсат беруді және егжей-тегжейлі қате туралы хабарлар арқылы қолданба ақпаратын жалпыға көрсетуді қамтиды.

Тіпті Blind SSRF жағдайда да, шабуылдаушы жауап алуға кететін уақытты өлшеу арқылы порттың ашық екенін анықтай алады.
Шабуыл бұрынғыamples
Ең танымал эксampSSRF шабуылына бұрынғы Amazon қатысты Web Қате конфигурацияланғанды пайдаланған Қызметтер (AWS) инженері web содан кейін Capital One қаржылық алпауытына жататын сервер данасында деректерді жинау үшін SSRF ақауын пайдалану үшін қолданба брандмауэрін (WAF). 2019 жылдың шілдесінде орын алған оқиға шамамен 100 миллион АҚШ азаматы мен алты миллион Канада азаматының деректерінің ұрлануына әкелді.21 Amazon қате конфигурацияны SSRF кемшілігінің емес, ымыраға келудің көзі деп санайды.22
2022 жылдың қазан айында бұлттық қауіпсіздік фирмасы Microsoft корпорациясына компанияның флагмандық Azure бұлттық платформасындағы төрт SSRF осалдықтары туралы хабарлады. Әрбір осалдық басқа Azure қызметіне әсер етті, соның ішінде Azure Machine Learning қызметі және Azure API басқару қызметі.23
Әзірлеуші ретінде оны қалай болдырмауға болады?
Әзірлеушілер кез келген сұрауларды тексеру үшін мүмкіндікті оқшаулап және қосымша қорғаныстарды қабаттастыру арқылы өз кодтарында ресурстарды алу механизмдерін инкапсуляциялауы керек. Мұндай мүмкіндіктер әдетте ішкі емес, қашықтағы ресурстарды алу үшін пайдаланылатындықтан, әзірлеушілер рұқсат етілген қашықтағы ресурстар тізімін пайдалану және ішкі ресурстарға қол жеткізу әрекеттерін блоктау үшін инкапсуляцияланған мүмкіндіктерді конфигурациялауы керек. Ресурстарды алу функциялары және зиянды кодқа талданған кез келген сұраулар үшін HTTP қайта бағыттау өшірілуі керек.
SSRF әлсіз жақтарының қаупін әрқашан толығымен жою мүмкін емес, сондықтан компаниялар сыртқы ресурстарға қоңырауларды пайдалану тәуекелін мұқият қарастыруы керек.
OpenText қалай көмектесе алады?
OpenText динамикалық қолданбалы қауіпсіздік сынағы DevSecOps топтарына серверлік сұрауды жалғандықпен жүйелі түрде тексеруге мүмкіндік береді. OpenTextTM динамикалық қолданбалы қауіпсіздік сынағы конфигурацияланған ортада қолданба серверін сканерлейді, осылайша барлық құрамдастарды – қолданбаны, серверді және желіні – тексеруге болады, бұл динамикалық талдау платформасына жан-жақты мүмкіндік береді. view сервер сұрауларының әсері.
OpenText SAST SSRF-нің көптеген жағдайларын ластануды талдау арқылы анықтай алады, мысалыample, егер қолданба a құрастыру үшін расталмаған пайдаланушы енгізуін пайдаланса URL ол содан кейін алынады. Құрал пайдаланушының шектеусіз енгізуін пайдалануды белгілейді.

21 Capital One кибероқиғасы туралы ақпарат. Capitol One кеңесі. Web Бет. 22 жылғы 2022 сәуірде жаңартылды.
22 Нг, Альфред. Amazon сенаторларға Capital One-ның бұзылуына кінәлі емес екенін айтады. CNET жаңалықтары. com. Жаңалық мақаласы. 21 қараша 2019 ж.
23 Шитрит, Лидор Бен. Orca төрт түрлі Azure қызметіндегі серверлік сұраудың жалғандығын (SSRF) осалдықтарын қалай тапты. Orca қауіпсіздік блогы. Web Бет. 17 қаңтар 2023 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

17/23

Қауіпсіздік коды ретінде конфигурацияларды қайталанатын ету және қолданбаның қауіпсіздік топтарына арнайы қолданба құрамдастары үшін стандартты конфигурация жиындарын орнату мүмкіндігін беру арқылы көмектесе алады.

API8:2023–Қауіпсіздік конфигурациясы
Бұл не?
Әзірлеушілер көбінесе қолданбаларды қате конфигурациялайды, әзірлеу активтерін өндірістік активтерден ажырата алмайды, сезімтал файлдарды экспорттайды. files – осындай конфигурация files – олардың жалпы репозитарийлеріне және әдепкі конфигурацияларды өзгерте алмау. Қауіпсіздік конфигурациясы осал әдепкі конфигурациялары бар қолданбаларды орнатуды, құпия функциялар мен деректерге тым рұқсат етілген кіруге рұқсат беруді және егжей-тегжейлі қате туралы хабарлар арқылы қолданба ақпаратын жалпыға көрсетуді қамтиды.
Қолданбаны осал ететін не?
Әдепкі қолданба конфигурациялары жиі тым рұқсат береді, қауіпсіздікті күшейтпейді және бұлтты сақтау даналарын көпшілікке ашық қалдырады. Көбінесе, web қолданбаларға негізделген құрылымдар қажет емес және қосылуы қауіпсіздікті төмендететін көптеген қолданба мүмкіндіктерін қамтиды.
Бұрынғыдаample OWASP егжей-тегжейлі, тікелей хабар алмасу мүмкіндігін ұсынатын әлеуметтік желі пайдаланушылардың құпиялылығын қорғауы керек, бірақ келесі мысалды пайдаланып белгілі бір сөйлесуді шығарып алу үшін API сұрауын ұсынады.ampAPI сұрауы:
GET /dm/user _ updates.json?conversation _ id=1234567&cursor=GRlFp7LCUAAAA
API соңғы нүктесі кэште сақталған деректерді шектемейді, нәтижесінде жеке сөйлесулер кэштеледі. web браузер. Шабуылшылар жәбірленушінің жеке хабарламаларын әшкерелеп, браузерден ақпаратты ала алады.
Шабуыл бұрынғыamples
2021 жылдың мамырында бұлттық қауіпсіздік фирмасы Microsoft корпорациясына кемінде 47 түрлі тұтынушының Microsoft Power Apps даналарының әдепкі конфигурациясын өзгерте алмағаны туралы хабарлады. Зардап шеккен ұйымдарға American Airlines және Microsoft сияқты компаниялар және Индиана мен Мэриленд сияқты штат үкіметі кірді және Power Apps порталдары арқылы 38 миллион жазба ықтимал компромисске ұшырады.24
2022 жылы осалдықтарды басқару фирмасы Amazon-да 12,000 XNUMX бұлттық даналары орналастырылғанын анықтады. Web 10,500 жылғы есеп бойынша, Azure жүйесінде орналастырылған 2022 25 қызметтер мен Telnet қашықтан қол жеткізу протоколын ашуды жалғастырды, XNUMX жылғы есеп бойынша, «бүгінгі таңда кез келген интернетке негізделген пайдалану үшін орынсыз» деп саналады.XNUMX Қажетсіз және қауіпті мүмкіндіктерді қосу API интерфейстері мен қолданбалардың қауіпсіздігін бұзады.

24 Upguard Research. Дизайн бойынша: Microsoft Power Apps қолданбасындағы әдепкі рұқсаттар миллиондаған адамдарға қалай әсер етті. Upgard зерттеу блогы. Web Бет. 23 жылғы 2021 тамыз.
25 Бердсли, Тодд. 2022 бұлтты қате конфигурациялар туралы есеп. Жылдам 7. PDF есебі. б. 12. 20 сәуір 2022 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

18/23

Құжаттаманың соқыр нүктесі - бұл маңызды атрибуттарды егжей-тегжейлі көрсететін құжаттаманың болмауына байланысты API мақсатының, жұмыс істеуінің және нұсқасының мәліметтері түсініксіз болған кезде.

Оны әзірлеуші ​​қалай болдырмауға болады?
DevSecOps командалары қолданбалары үшін қауіпсіз конфигурацияларды жасау үшін қажетті қадамдарды түсінуі және конфигурацияны тексеру үшін автоматтандырылған әзірлеу құбырын пайдалануы керек. fileБағдарламалық құралды конфигурация қателеріне немесе қауіпсіздік мәселелеріне үздіксіз тексеру үшін тұрақты блок сынақтары мен жұмыс уақытын тексеруді қоса, орналастыру алдында. Қауіпсіздік коды ретінде конфигурацияларды қайталанатын ету және қолданбаның қауіпсіздік топтарына арнайы қолданба құрамдастары үшін стандартты конфигурация жиындарын орнату мүмкіндігін беру арқылы көмектесе алады.
Қауіпсіз даму циклінің бөлігі ретінде әзірлеушілер мен операциялық топтар:
· Қауіпсіз қолданбалы ортаны қайталанатын жасауды және қолдауды жеңілдететін қатайту процесін құру,
· Қайтаview және жаңа стандартты дәйекті түрде қосу үшін API стекіндегі барлық конфигурацияларды жаңартыңыз және
· Барлық орталардағы конфигурация параметрлерінің тиімділігін бағалауды автоматтандыру.
OpenText қалай көмектесе алады?
OpenText статикалық қолданбалы қауіпсіздік сынағы әзірлеу процесі кезінде конфигурацияларды тексеріп, әлсіз жақтардың көптеген түрлерін анықтай алады. Қауіпсіздік қате конфигурациялары қолданба коды деңгейінде де, инфрақұрылым деңгейінде де орын алатындықтан, қате конфигурацияларды ұстау үшін әртүрлі OpenText өнімдерін пайдалануға болады.
OpenText статикалық қолданба қауіпсіздігін тексеру сканерлеуі қате конфигурация мәселелеріне қолданба кодын тексере алады. Статикалық талдауды тексеру кезінде OpenText SAST конфигурацияны бағалай алады files қауіпсіздік қателері үшін, соның ішінде Docker, Kubernetes, Ansible, Amazon үшін Web Қызметтер, CloudFormation, Terraform және Azure Resource Manager үлгілері.
Конфигурация қателерін орындау уақыты кезінде де анықтауға болады. OpenText динамикалық қолданбалы қауіпсіздік сынағы DevSecOps топтарына жалпы қауіпсіздік қате конфигурацияларын жүйелі түрде тексеруге мүмкіндік береді. DAST сканерлеуінің ең күшті жақтарының бірі оның конфигурацияланған ортада қолданбалы серверде жұмыс істеуі болып табылады, яғни толық орта – қолданба, сервер және желі – барлығы бірден тексеріліп, динамикалық талдау платформасына жан-жақты мүмкіндік береді. view өндірістік орта конфигурацияланады.
API9:2023 – Түгендеуді дұрыс емес басқару
Бұл не?
Like most software assets, APIs have a lifecycle, with older versions replaced by more secure and efficient APIs or, increasingly, using API connected to third-party services. DevSecOps teams who do not maintain their API versions and documentation can introduce vulnerabilities when older, flawed API versions continue to be used–a weakness known as Improper Inventory Management. Best practices for inventory management require the tracking of

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

19/23

API нұсқалары, біріктірілген қызметтерді жүйелі түрде бағалау және түгендеу және қауіпсіздік осалдықтарының таралуын болдырмау үшін бұрынғы нұсқаларды үнемі ескіру.
Қолданбаны осал ететін не?
API интерфейстеріне негізделген бағдарламалық жасақтама архитектуралары, әсіресе микросервис архитектурасын пайдаланатындар, дәстүрліге қарағанда соңғы нүктелерді көбірек көрсетеді. web қолданбалар. API соңғы нүктелерінің көптігі, сонымен қатар бір уақытта бар API бірнеше нұсқаларының ықтималдығы кеңейтілген шабуылдың алдын алу үшін API провайдерінен қосымша басқару ресурстарын талап етеді. OWASP DevSecOps командаларында API инфрақұрылымына қатысты болуы мүмкін екі негізгі соқыр нүктелерді анықтайды.
Біріншіден, құжаттаманың соқыр нүктесі - бұл маңызды атрибуттарды егжей-тегжейлі көрсететін құжаттаманың болмауына байланысты API мақсатының, жұмыс істеуінің және нұсқасының мәліметтері түсініксіз болған кезде.
Екіншіден, деректер ағынының соқыр нүктесі API интерфейстері анық емес тәсілдермен пайдаланылған кезде орын алады, нәтижесінде күшті бизнес негіздеусіз міндетті түрде рұқсат етілмейтін мүмкіндіктер пайда болады. Қауіпсіздік кепілдіктерінсіз құпия деректерді үшінші тараппен бөлісу, деректер ағынының соңғы нәтижесінің көрінбеуі және тізбектелген API интерфейстеріндегі барлық деректер ағындарын салыстырмаудың барлығы соқыр нүктелер болып табылады.
Бұрынғы ретіндеample, OWASP есебінде үшінші тараптың тәуелсіз қолданбаларымен біріктіруге мүмкіндік беретін ойдан шығарылған әлеуметтік желі келтірілген. Соңғы пайдаланушыдан келісім талап етілсе де, әлеуметтік желі пайдаланушының ғана емес, олардың достарының да белсенділігін бақылау сияқты төменгі ағындық тараптардың деректерге қол жеткізуіне жол бермеу үшін деректер ағынының жеткілікті көрінуін қамтамасыз етпейді.
Шабуыл бұрынғыamples
2013 және 2014 жылдары Facebook платформасында 300,000 87-ға жуық адам онлайн психологиялық викторинадан өтті. Викторинаның артында тұрған компания, Cambridge Analytica, тек сол пайдаланушылар туралы ақпаратты жинап қана қоймай, сонымен бірге олардың байланысқан достары - XNUMX миллионға жуық халықты құрады, олардың басым көпшілігі ақпарат жинауға рұқсат бермеді. Содан кейін компания бұл ақпаратты тұтынушылардың атынан сол адамдарға жарнамалар мен хабар алмасу үшін, соның ішінде Трампты қолдайтын саяси жарнамаларды жіберу үшін пайдаланды.amp2016 жылғы сайлауға қатысу.26 Facebook-тің оның платформасынан жиналған ақпаратты үшінші тұлғалардың қалай пайдаланғаны туралы білмейтіні бұрынғыampТауарлық-материалдық қорларды дұрыс емес басқару.
Әзірлеуші ретінде оны қалай болдырмауға болады?
DevSecOps командалары барлық API хосттарын құжаттап, API интерфейстері мен үшінші тарап қызметтері арасындағы деректер ағындарының көрінуін сақтауға назар аударуы керек. Түгендеуді дұрыс емес басқаруды болдырмаудың негізгі жолы барлық API қызметтері мен хосттарының маңызды аспектілерінің егжей-тегжейлі құжаттамасы болып табылады, соның ішінде олар қандай деректермен жұмыс істейтіні, хосттарға және деректерге кімнің қол жеткізе алатыны туралы ақпаратты,
26 Розенберг, Мэтью және Би, Габриэль. «Сіз өнімсіз»: Facebook желісіндегі Cambridge Analytica мақсатты. The New York Times. Жаңалық мақаласы. 8 сәуір 2018 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

20/23

Ұйымдар OpenText арқылы OpenText Secure API Manager арқылы API пайдалануын басқара, бақылай алады, қорғай алады және құжаттай алады, бұл қолданбалардың қауіпсіздік топтарына API активтерінің жаңартылған түгендеуін жүргізуге мүмкіндік береді.

және әрбір хосттың арнайы API нұсқалары. Құжатталуы тиіс техникалық мәліметтерге аутентификацияны енгізу, қателерді өңдеу, жылдамдықты шектеу қорғаныстары, бастапқы ресурстарды ортақ пайдалану (CORS) саясаты және әрбір соңғы нүктенің мәліметтері кіреді.
Құжаттаманың айтарлықтай көлемін қолмен басқару қиын, сондықтан үздіксіз интеграция процесі арқылы құжаттаманы жасау және ашық стандарттарды пайдалану ұсынылады. API құжаттамасына қол жеткізу сонымен қатар API пайдалануға рұқсаты бар әзірлеушілермен шектелуі керек.
Қолданбаны құру және сынақтан өткізу кезеңдерінде әзірлеушілер әзірлеу немесе s бойынша өндірістік деректерді пайдаланудан аулақ болу керекtagдеректердің ағып кетуін болдырмау үшін қолданбаның ed нұсқалары. API интерфейстерінің жаңа нұсқалары шығарылған кезде, DevSecOps командасы қосымшаларды жаңартудың ең жақсы тәсілін анықтау үшін тәуекелдерді талдауы керек.tagқауіпсіздікті арттыру.
OpenText қалай көмектесе алады?
Ұйымдар OpenTextTM Secure API Manager көмегімен API пайдалануын басқара, бақылай алады, қорғай және құжаттай алады, бұл қолданбаның қауіпсіздік топтарына API активтерінің жаңартылған түгендеуін жүргізуге мүмкіндік береді. OpenText Secure API менеджері беделді репозиторийді қамтамасыз етеді, онда сіздің DevSecOps тобы ұйым пайдаланатын барлық API интерфейстерін сақтай және басқара алады, бұл API әзірлеуден бастап зейнетке шығуға дейін басқаруға оңай өмірлік циклге мүмкіндік береді. Бағдарламалық қамтамасыз ету егжей-тегжейлі талдауға мүмкіндік беру арқылы ережелер мен лицензиялаудың сақталуын жақсартуға көмектеседі.
API10:2023 – API интерфейстерін қауіпті тұтыну
Бұл не?
With the increasing use of native cloud infrastructure to create applications, APIs have become the point of integration between application components. However, the security posture of third-party services accessed through APIs is rarely clear, allowing attackers to determine on which services an application relies and whether any of those services have security weaknesses. Developers tend to trust the endpoints that their application interacts without verifying the external or third-party APIs. This Unsafe Consumption of APIs often leads to the application’s reliance on services that have weaker security requirements or lack fundamental security hardening, such as input validation.
Қолданбаны осал ететін не?
Әзірлеушілер пайдаланушы енгізуіне қарағанда үшінші тарап API интерфейстерінен алынған деректерге көбірек сенеді, дегенмен екі көз дәлелді шабуылдаушы үшін іс жүзінде баламалы. Бұл дұрыс емес сенімге байланысты әзірлеушілер енгізуді тексеру және санитарлық тазалаудың болмауына байланысты әлсіз қауіпсіздік стандарттарына сүйенеді.
Қолданба келесі жағдайларда қауіпті API тұтынуы орын алуы мүмкін:
· Шифрланбаған байланыстарды пайдаланып басқа API интерфейстерін пайдаланады немесе тұтынады,
· Басқа API немесе қызметтерден алынған деректерді тексеру және зарарсыздандыру сәтсіздігі,
· Қауіпсіздік тексерулерінсіз қайта бағыттауға мүмкіндік береді немесе

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

21/23

Әзірлеуші API соңғы нүктесі қайтарған кез келген деректерді тексеру үшін қолданбасына қауіпсіздік тексерулерін кодтамаса, олардың қолданбасы қайта бағыттауды бақылайды және шабуылдаушыға құпия медициналық ақпаратты жібереді.
OWASP API Security Top-10 API құрастыратын бұлтты әзірлеушілер үшін өте маңызды. Дегенмен, SQL инъекциясы, деректердің экспозициясы және қауіпсіздіктің қате конфигурациялануы сияқты жалпы қолданбалы осалдықтарды шешу басымдыққа ие болуы керек, өйткені олар жиі киберқауіптермен пайдаланылады. API Security Top-10 қауіпсіз бағдарламалық қамтамасыз етуді әзірлеудің маңызды бөлігі болып табылады, бірақ қолданбаның жалпы осалдықтарын жою үшін екінші дәрежелі болуы керек.

· Шекті мәндер мен күту уақытын пайдаланып ресурстарды тұтынуды шектей алмайды.
БұрынғыдаampOWASP есебіндегі le, құпия пайдаланушының медициналық ақпаратын сақтау үшін үшінші тарап қызмет провайдерімен біріктірілген API интерфейсі API соңғы нүктесі арқылы жеке деректерді жіберуі мүмкін. Шабуылшылар 308 тұрақты қайта бағыттау: HTTP/1.1 308 тұрақты қайта бағыттау арқылы болашақ сұрауларға жауап беру үшін үшінші тарап API хостын бұзуы мүмкін.
Орналасқан жері: https://attacker.com/
Әзірлеуші API соңғы нүктесі қайтарған кез келген деректерді тексеру үшін қолданбасына қауіпсіздік тексерулерін кодтамаса, олардың қолданбасы қайта бағыттауды бақылайды және шабуылдаушыға құпия медициналық ақпаратты жібереді.
Шабуыл бұрынғыamples
2021 жылдың желтоқсанында, Log4J деген жиі қолданылатын ашық бастапқы бағдарламалық құрал құрамдасындағы осалдықтардың жиынтығы шабуылдаушыға кодталған сценарий сияқты тазартылмаған енгізуді беруге және сценарийді серверде орындау үшін Log4J осал нұсқаларын пайдалануға мүмкіндік берді. Log4J осалдықтарының артындағы мәселе енгізуді тексерудің жоқтығынан, әсіресе сериясыздандырылған пайдаланушы берген деректерде қауіпсіздік тексерулерін жүргізбеуден туындады. Серияланған зиянды кодты жіберу арқылы шабуылдаушылар осалдықты пайдаланып, осалдығы бар серверге шабуыл жасай алады. Әзірлеушілер үшінші тарап API интерфейстері және басқа сыртқы көздер ұсынған барлық енгізуді тексеруі керек.27
Оны әзірлеуші ​​қалай болдырмауға болады?
Әзірлеушілер қызмет жеткізушілерін бағалау, олардың API қауіпсіздік жағдайын бағалау және қауіпсіздікті қатаң бақылауды жүзеге асыру кезінде тиісті тексеру жүргізуі керек. Бұған қоса, әзірлеушілер үшінші тарап API интерфейстеріне және үшінші тараптардан ұйымның API интерфейстеріне баратын барлық коммуникациялар аңду және қайталау шабуылдарын болдырмау үшін қауіпсіз байланыс арнасын пайдаланатынын растауы керек.
Сыртқы пайдаланушылар мен машиналардан деректерді алған кезде, кодтың байқаусызда орындалуын болдырмау үшін кірістер әрқашан дезинфекциялануы керек. Ақырында, API интерфейстері арқылы біріктірілген бұлттық қызметтер үшін рұқсат тізімдерін кез келген IP мекенжайына қолданбаның API шақыруына соқыр рұқсат бермей, біріктірілген шешімнің мекенжайын құлыптау үшін пайдалану керек.
OpenText қалай көмектесе алады?
OpenText Static Application Security Testing статикалық кодты және API талдау мүмкіндіктерін OpenText Dynamic Application Security Testing (DAST) жиынтығының орындалу уақытын тексерулерімен біріктіру арқылы DevSecOps командалары қолданбаларының үшінші тарап API интерфейстерін пайдалануын тексере алады және жалпы шабуыл түрлерін тексере алады. Қауіпті API интерфейстерін табу үшін OpenText Secure API Manager жүйесі шақыратын барлық API репозиторийін, сондай-ақ қандай сыртқы қолданбалар қолданбаңыздың API интерфейстерін пайдалана алатынын құра алады.
27 Microsoft Threat Intelligence. Log4j 2 осалдығын пайдаланудың алдын алу, анықтау және іздеу бойынша нұсқаулық. Microsoft. Web бет. Жаңартылған: 10 қаңтар 2022 ж.

API қауіпсіздігіне арналған 2023 OWASP үздік 10 нұсқасына әзірлеуші нұсқаулығы

22/23

Әрі қарай қайда бару керек
Міне, осы құжатта аталған өнімдер: OpenText Application Security >
OpenText статикалық қолданба қауіпсіздігін тексеру >
OpenText динамикалық қолданба қауіпсіздігін тексеру >
OpenText Secure API Manager >
Қосымша ресурстар OWASP Top 10 API Security Risks–2023 >
Қолданба қауіпсіздігін сынауға арналған Gartner Magic Quadrant >
OpenText қолданбасының қауіпсіздігі Webinar Series >

API Security Top-10 жеткіліксіз!
Қолданбаның басқа бөліктеріне, ішкі пайдаланушыларға немесе жаһандық тұтынуға қызмет ұсыну үшін API құруға арнайы бағытталған бұлттағы жергілікті әзірлеушілер үшін OWASP API Security Top 10 тізімі оқу және түсіну үшін маңызды құжат болып табылады.
Дегенмен, OWASP API Security Top 10 жеке құжат емес. Әзірлеушілер сонымен қатар ағымдағы қолданбасы мен архитектурасына сәйкес келетін OWASP Top 10 сияқты басқа үздік тәжірибе көздерін пайдаланатынына көз жеткізуі керек. Қолданбаның жалпы осалдықтары - SQL инъекциясы, деректердің экспозициясы және қауіпсіздік конфигурациясының қателігі - киберқауіп топтары корпоративтік инфрақұрылымды бұзуы мүмкін және оларды тез жою қажет болатын жалпы әдістер болып қала береді. Оған қоса, кейбір API негізіндегі қолданбалар, мысалы, мобильді қолданбалар, автономды қолданбаға қарағанда, қолданбаларды қатайтудың басқа қадамдарын талап етеді. web-қолданба және қосылу және IoT құрылғылары үшін талап етілетіннен басқа. Тұтастай алғанда, API Security Top 10 тізімі маңызды, бірақ ол жалпы қауіпсіз бағдарламалық жасақтаманы әзірлеудің өмірлік циклінің бір қыры ғана болып қала береді. Тізім және OWASP Top 10 тізімі талданатын шешім үшін қажетті кез келген басқа тиісті стандарттармен және үздік тәжірибелермен бірге пайдаланылуы керек.
Қорытынды
As applications increasingly rely on cloud infrastructure, web application programming interfaces (APIs) have become the foundation of the Internet. Companies typically have hundreds, if not thousands, of API endpoints in their environment, dramatically increasing their attack surface and exposing applications to a variety of weaknesses.
2023 OWASP API Security Top 10 тізімінің шығарылымы компаниялар мен әзірлеушілер үшін API негізіндегі инфрақұрылымның тәуекелдері туралы білім алу және өз қолданбаларын бағалау үшін жақсы бастама болып табылады. Танымал Application Security Top-10 тізімімен қатар, рейтингтер жұбы DevSecOps командаларына қолданбаларының жалпы қауіпсіздігіне тұтас көзқарасты дамытуға көмектесе алады.
DevSecOps командалары API интерфейстерінің қауіпсіздік салдары туралы, іске асырудың осалдықтары мен қауіпсіздік әлсіз жақтарын қалай азайтуға болатынын және шабуылдаушыларға оның API интерфейстері арқылы қолданбаны бұзуын қиындату үшін олардың әзірлеу құбырын және нәтижелі API серверін қатайту жолын білуі керек.

Авторлық құқық © 2025 Ашық мәтін · 04.25 262-000177-001

Құжаттар / Ресурстар

OpenText 262-000177-001 OWASP API қауіпсіздігі үшін ең жақсы 10 [pdf] Пайдаланушы нұсқаулығы
262-000177-001, 262-000177-001 API қауіпсіздігі үшін OWASP үздік 10, 262-000177-001, API қауіпсіздігі үшін OWASP үздік 10, API қауіпсіздігі үшін, API қауіпсіздігі, қауіпсіздік

Анықтамалар

Пікір қалдырыңыз

Электрондық пошта мекенжайыңыз жарияланбайды. Міндетті өрістер белгіленген *