ブログ

Jul 07, 2023

API7:2019 セキュリティの構成ミス: 内容、エクスプロイトのサンプル、および防止方法

Home » Calendario Editoriale » Sicurezza API » API7: Configurazione errata della sicurezza 2019:

ホーム » 編集カレンダー » API セキュリティ » API7:2019 のセキュリティ構成ミス: 内容、エクスプロイトのサンプル、および防止方法

セキュリティの構成ミスは、Web アプリケーションだけでなく API でも非常に一般的なセキュリティ リスクです。 これらは常に OWASP の Web アプリケーション脆弱性トップ 10 に含まれています。 これらは、2019 年に公開されたオリジナルの OWASP トップ 10 API セキュリティ リスクの一部であり、現在は更新された 2023 年のリストに含まれています。

セキュリティの設定ミスは 7 位を維持OWASP トップ 10 API 2023RCその理由は、広範囲に蔓延しており、悪用が容易で、検出が容易であるためです。

セキュリティの構成ミスとは具体的に何ですか? 何が原因で、どのように軽減すればよいのでしょうか? 読み続けて調べてください。

セキュリティの構成ミスとは、API の構成、実装、またはメンテナンス中に発生するエラーや見落としであり、セキュリティの脆弱性につながる可能性があります。 これは、開発者/IT チームが API の実装と構成においてセキュリティのベスト プラクティスに従っていない場合に発生します。

セキュリティの構成ミスは、開発者と IT セキュリティ チームが適切な構成で攻撃対象領域を適切に強化できなかったために発生する可能性があります。

これは単に、重要な API セキュリティ設定が実装されていないか不適切であり、API に危険なギャップや弱点が残っていることを意味します。 脅威アクターはこれらのギャップを悪用して、大規模な攻撃やデータ侵害を組織化する可能性があります。

これらの構成ミスは、API サーバー、API ゲートウェイ、クライアント アプリケーション、API をサポートするインフラストラクチャ、ネットワーク レベル、システム レベル、アプリケーション レベルなど、API スタックのさまざまなレベルで発生する可能性があります。 これらの構成ミスが Web アプリや API に与える影響には、ほとんど違いはありません。

// 安全でない API Endpointapp.get('/api/user/:id', (req, res) => {const userId = req.params.id;// 認証または認可なしでデータベースからユーザー データを取得しますUser.findById( userId, (err, user) => {if (err) {return res.status(500).json({ error: '内部サーバー エラー' });}if (!user) {return res.status(404) .json({ error: 'User not found' });}// ユーザー datares.json(user) を返します;});});この例では、API エンドポイント /api/user/:id は次のように設計されています。提供された ID に基づいてユーザー データを取得します。 ただし、認証や認可のチェックは行われません。

このコードは、ユーザーの ID を検証したり、ユーザーが必要な権限を持っているかどうかを確認したりせずに、データベースからユーザーを直接取得します。

この設定ミスを悪用した攻撃者は、任意の id パラメータを指定して GET リクエストを /api/user/:id に送信し、認証や適切な許可なしにユーザー データを取得する可能性があります。 これにより、ユーザーの機密情報が権限のない個人に公開されます。

システムの構成ミスは、API、Web アプリケーション、ネットワーク、コンテナ、開発プラットフォームのいずれにおいても悪用される可能性がある脆弱性です。 API を不適切、不適切、または安全でない構成のままにしておくと、API がさまざまなセキュリティ リスクにさらされたままになります。

セキュリティ設定ミスの脆弱性にはさまざまな形や規模があり、リスクのレベルも異なります。 これらの構成ミスの原因となる可能性のある例をいくつか示します。

API の設定ミスの完全なリストをこちらから確認してください。API 侵入テストのチェックリスト。

API 構成ミスによる攻撃シナリオの 5 つの例と、その潜在的な影響を次に示します。

2019 年の Capital One 侵害は、攻撃者によるセキュリティの設定ミスが悪用された実際の例です。 Capital One の場合、攻撃者は、同社のアプリと API を保護するためにオープンソースの WAF が使用されていることを発見しました。 この WAF は、企業の AWS 環境のニーズとコンテキストに合わせて適切に構成および調整されていませんでした。 その結果、ゼロトラストと最小特権の原則に従っていませんでした。

寛容すぎるため、攻撃者は WAF を簡単にバイパスすることができます。 攻撃者は、バックエンドの AWS クラウド メタデータ サービスをターゲットとするインジェクション スクリプトを作成しました。 WAF はメッセージの内容を検査したりフィルタリングしたりできず、バックエンドによる挿入リクエストの処理を許可しました。 攻撃者は、アクセスすべきではないメタデータを収集する可能性があります。

このメタデータを使用すると、サーバー側リクエスト フォージェリ (SSRF) 攻撃を通じて IT 環境内の他のシステムを侵害する可能性があります。 ここで詳しく見てみましょうOWASP トップ 10 に該当する API ハックと過去のインスタンス。

セキュリティの設定ミスによる主な影響の 1 つは、機密情報やシステムの詳細が公開されることです。 システムの詳細と構成が公開されると、サーバー全体が侵害され、組織に壊滅的な影響を与える可能性があります。

セキュリティの設定ミスは、OWASP API トップ 10また、この脆弱性により、攻撃者はリモート攻撃、ディレクトリ トラバーサル攻撃、SSRF 攻撃、認証および認可攻撃、クラウド ベースの攻撃など、幅広い攻撃を組織化できるようになります。

セキュリティの構成ミスが OWASP API トップ 10 の脆弱性であるもう 1 つの理由は、API が不適切に構成されているため、開発者や組織に誤ったセキュリティ意識が生じることです。 したがって、開発者は、構成が適切に行われているため、脅威から安全であると考えています。

ただし、これまで見てきたように、不適切で不適切な構成は、何も構成されていないことよりも悪いです。 これらにより、攻撃者は自分の命令を実行しやすくなります。

セキュリティの構成ミスの蔓延スコアは 3 で、悪用可能性スコアこれは、これらが非常に一般的な API 脆弱性であり、簡単に悪用可能であることを意味します。 自動化ツールが利用できるため、攻撃者はこれらの構成ミスをシームレスに発見し、悪用することができます。

これらの脆弱性が蔓延している主な理由の 1 つは、今日のペースの速い開発サイクルです。 不可能な期限を考えると、開発者には、API 機能を実稼働環境にプッシュする前に、セキュリティの構成ミスがないか適切にテストしてチェックする十分な時間がありません。

さらに、IT インフラストラクチャの複雑化により、完全な API 環境の可視性も欠如しています。 そのため、API 機能、エンドポイント、依存関係が忘れられることがよくあります。

API セキュリティは継続的なプロセスです。 進化する脅威の状況、業界のベスト プラクティス、セキュリティ インシデントから学んだ教訓に基づいて、セキュリティ対策を継続的に監視、評価、強化します。 変更や新しい洞察を反映するために、セキュリティ ガイドラインとドキュメントを定期的に更新します。

この方法を使用すると、脆弱性を特定して対処し、構成を検証し、API インフラストラクチャ全体でベスト プラクティスを適用できます。 このプロアクティブなアプローチは、潜在的なセキュリティ侵害、不正アクセス、データ漏洩のリスクを最小限に抑えるのに役立ちます。

さらに、セキュリティ制御が適切に構成および維持されることを保証し、機密情報の漏洩や API エコシステムの整合性の侵害につながる可能性のある構成ミスの可能性を軽減します。

API スタック (API エンドポイント、ネットワーク、クライアント アプリ、クラウド ストレージ、ネットワークなど) 全体の構成を定期的に確認し、更新する必要があります。 デフォルト設定や不要な機能などを探し、それらを修正するための措置をすぐに講じる必要があります。

これには、API と IT インフラストラクチャ全体のギャップや脆弱性の定期的なスキャンとテストが含まれる必要があります。 インテリジェントなツールを活用し、信頼できる専門家による定期的な手動侵入テストでツールを強化する必要があります。 これは、弱点、欠点、ギャップを検出するのに役立ちます。

次の目標は、セキュリティ ホールを発見したら速やかに塞ぐことです。 ただし、開発者リストのロード、優先順位の変更、アプリケーション コードの継続的な更新が、脆弱性修復の平均 200 日の遅れに頻繁に影響しています。

仮想パッチ適用は、魅力的な代替手段を提供します。 仮想パッチ適用を実装することで、セキュリティ対策を効果的に強化し、脆弱性の発見と修復の間のギャップを埋めることができます。

その他の対策

結論

セキュリティの構成ミスは API の危険な脆弱性であり、攻撃者がセキュリティ メカニズムをバイパスできる一方で、組織に誤ったセキュリティ感を与える可能性があります。 組織は、堅牢な API セキュリティを確保するために、これらの構成ミスを積極的に特定して修正する必要があります。

API に重点を置いたセキュリティ ソリューションを活用します。AppTrana WAAPセキュリティの設定ミスやその他のセキュリティ リスクから API を保護します。

より関連性の高い興味深いセキュリティ更新情報に注目してください。 Facebook、Twitter、LinkedIn で Indusface をフォローしてください

API7:2019 セキュリティの設定ミス: 内容、エクスプロイトのサンプル、および防止方法の投稿は、最初に Indusface に掲載されました。

*** これは、Indusface が執筆した、Indusface の Security Bloggers Network シンジケート ブログです。 元の投稿を読む: https://www.indusface.com/blog/owasp-api-2019-security-misconfiguration/