Language
黙示録の回避: ゾンビ API を見つけるためのガイド

ニュース

ホームページホームページ / ニュース / 黙示録の回避: ゾンビ API を見つけるためのガイド
search
最近のニュース

Jun 07, 2023

マシュマロルートの8つの利点: お茶、チンキ剤など

Jun 09, 2023

ヌーセプチンのレビュー [米国]: 顧客からの詐欺苦情、それとも効果のあるヌーセプチン成分?

Jun 11, 2023

大麻チンキ剤 101: THC チンキ剤とは何ですか?

Jun 13, 2023

インドのヴィディヤ・ハーブスがフラッグラー郡にハーブ抽出工場を開設

Jun 05, 2023

2023 年の不安サプリメント ベスト 5

お問い合わせを送信してください
送信

Dec 22, 2023

黙示録の回避: ゾンビ API を見つけるためのガイド

Home » Security Blogger Network » Evitare l'Apocalisse: una guida alla scoperta

ホーム » セキュリティ ブロガー ネットワーク » 黙示録の回避: ゾンビ API を見つけるためのガイド

Noname Security による最近のレポートのこの統計を考慮してください。 より多い87%回答者の割合は、古い API や不要な API によるセキュリティ リスクを懸念しています。 API ハッキングの世界では、これらを次のように呼びます。ゾンビAPI

私が話している API エンドポイントの種類はご存知でしょう。 それは、もはやメンテナンスされていないものの、「下位互換性」のためにまだ存在している、忘れ去られた API です。 これらの API は古くなり、信頼性が低くなり、ハッキングに対して脆弱になる可能性があります。 これらを使用するアプリケーションには潜在的なセキュリティ リスクがあります。

これは非常に重要な種類の脆弱性です。 それは次のように着陸します#92023 OWASP API セキュリティ トップ 10 リストに API9:2023 不適切な在庫管理として掲載されました。

悪いコードバイトであなたがアンデッドに加わる前に、そのことについて話しましょう。 (うめき声…。やあ、かなりひどいゾンビジョークですね)

無視されたこれらの API は脆弱性やセキュリティの抜け穴の宝庫になる可能性があるため、ゾンビ API を見つけることは私たちにとって非常に重要です。 これらの脆弱性を悪用すると、データへの不正アクセスを取得したり、新しいバージョンに追加されたセキュリティ制御をバイパスしたり、継続的なパッチ適用が維持されていない場合にシステム全体を侵害したりする可能性があります。

API は時間の経過とともに脆弱になる傾向があります。 これが、API セキュリティのベスト プラクティスで常に古いバージョンの廃止と無効化について言及される理由です。

しかし、リスクを管理するセキュリティ チームは、API のスプロール化により、API が公開されていることを常に認識しているわけではありません。 そして 3 分の 1 を超えると (35%) の組織が API の更新を毎日リリースし、さらに40%毎週実行すると、セキュリティの観点から、すべての API トラフィックを追跡することがはるかに困難になります。

Noname Security の調査で得られたもう 1 つの重要な発見は次のとおりです。 既存のアプリのクラウド移行と、新たなビジネス価値をもたらす SaaS ベースのサービスの導入により、今後 2 年以内に、調査対象の組織の 50% 以上がすべてのアプリにアクティブな API を展開すると予想されます。

最近開発者の間で普及しつつある API ファーストのアプリ アーキテクチャと組み合わせると、API の迅速な作成が API のスプロール化と脆弱性の高い API のリスクにつながることは間違いありません。

厳密な API ガバナンス戦略はこのリスクを軽減するのに役立ちますが、現実には、アプリ チームがサードパーティ API を使用しながら、同時にセキュリティ チームが所有していない内部および外部システムにデータを接続している場合、API の無秩序な増加を管理するのは困難です。への可視性。

組織内のゾンビ API を特定したい場合は、いくつかの手順を実行できます。

最初のステップでは、対象組織で使用されているすべての API のインベントリを作成します。 これには、内部 API と外部 API の両方が含まれます。 これは、API の使用範囲を理解し、存在する可能性のある潜在的なゾンビを特定するのに役立ちます。 API 検出ツールは、偵察中に役立ちます。

API のインベントリを取得したら、その使用状況の分析を開始できます。 これには、各 API に対して行われたリクエストの数、誰がリクエストを行ったか、およびそれらの API がどのように使用されているかを調べることが含まれます。 これは、使用されなくなった API、またはレガシー システムでのみ使用されている API を識別するのに役立ちます。 ブラックボックステストに限定されている場合、これを行うのははるかに困難です。 ただし、API ゲートウェイのトラフィック データにアクセスできれば、通常はこれを解析できます。

ターゲット API にバージョン管理があるかどうかを確認することが重要です。 バージョン管理により、古いバージョンの API エンドポイントとの下位互換性がサポートされます。 また、古いバージョンは維持されなくなり、脆弱になる可能性があることも意味します。 URL パス、Cookie、アクセス トークン内のクレーム、カスタム HTTP ヘッダー、HTTP リクエスト パラメーターなどのメタデータをチェックして、明らかなバージョニング アーティファクトを確認します。 API の古いバージョンを見つけた場合は、まずそこへの攻撃の脅威を考慮する必要があります。

API は無視され、メンテナンスされないことがよくあります。 無視の兆候には、ドキュメントが古い、更新がない、サポートや連絡先情報がないなどがあります。 これらの兆候のある API を見つけた場合、それらはゾンビである可能性があります。 古いフレームワークやサービスが公開される可能性のあるメタデータには特に注意してください。 脆弱な可能性がある非常に古いコンテナ イメージで古い API バージョンが実行されていることに遭遇することは珍しいことではありません。

最後に、API でセキュリティ スキャンを実行して、プラットフォームまたはフレームワークの脆弱性を特定する必要があります。 これは、攻撃に対して脆弱な可能性があるゾンビ API など、API のインフラストラクチャに関連する潜在的なリスクを特定するのに役立ちます。 nikto のような FOSS ツールは、これを非常に迅速に実行できるように設計されています。

ゾンビである可能性のある API エンドポイントを特定したら、BurpSuite を使用してそのエンドポイントへのリクエストをキャプチャします。 次に、同じリクエストを新しいバージョンにキャプチャし、Burp Comparer を使用して何が異なるかを確認します。 数秒以内に、改ざんできるペイロードの変更を特定できる可能性があります。 以前、奇妙な場所で API データが改ざんされることについて話しました。 そのガイダンス (特にペイロードの汚染に関するセクション) に従って、ゾンビ API を強制終了する方法を検討し始めることができるはずです。

ペイロード本体のバージョン間で追加または削除される JSON プロパティには特に注意してください。 開発者がオブジェクトのデータ スキーマを変更した場合、リクエストを改ざんして過剰なデータ漏えいの脆弱性が露呈する可能性があります。 開発者が、その後修正された古いバージョンで機密データを不適切に公開していたかどうかはわかりません。

古いバージョンでは、一括割り当ての脆弱性を引き起こすデータの変更が許可されている場合もあります。 実際、この戦術を使用するとテナント内で権限昇格が可能になる、重大度の高いセキュリティ上の問題がいくつか見つかりました。 開発者は新しいエンドポイント バージョンでは機密プロパティの変更を禁止していましたが、古いバージョンでは禁止されていなかったため、API データが汚染され、アプリケーションが予期していたよりも多くのアクセスが許可されてしまいました。

また、プラットフォームまたはフレームワークの変更を示す可能性のある相違点がないか、HTTP 応答のヘッダーを確認する必要があります。 API ゲートウェイは、古いバージョンを内部 API サーバーにリダイレクトしている可能性があります。内部 API サーバーには、新しい API バージョンが持つ適切な制御が備わっていない可能性があります。 複数のテクノロジー プラットフォームを使用することは珍しいことではなく、足がかりとなる可能性のあるバージョン間で機能またはセキュリティの容量が異なる場合があります。

シャドウ API や不正 API を見つけることは、ゾンビ API によってもたらされるリスクよりも企業にとって大きなリスクであると言う人もいます。

私は同意しません。

シャドウ API は、API ディスカバリを通じて見つかる場合があります。 ただし、新しい API (または少なくとも新しいバージョン) がデプロイされると、古い API はしばらく休眠状態になり、忘れ去られる可能性があります。 そして、その休止中のコードは、信頼できる API の脆弱性と攻撃対象領域を増大させます。

API 攻撃がより蔓延し、巧妙化するにつれて、組織は API セキュリティを優先し、ゾンビ API のリスクを軽減するために厳格なガバナンス戦略とベスト プラクティスを実装する必要があります。 そうすることで、データ侵害、不正アクセス、システム侵害を引き起こす可能性のある終末的なゾンビ API による壊滅的な結果を回避できます。

API ハッカーであるあなたは、ゾンビが噛まれる前にこれらのゾンビを見つけて根絶するのを手伝うことができます。

これは役に立ちましたか? それなら、私の API ハッキング リソースの究極ガイドを気に入っていただけるかもしれません。 楽しむ!

投稿「Avoiding the Apocalypse: A Guide to Finding Zombie APIs」は、Dana Epp のブログに最初に掲載されました。

*** これは、Dana Epp が執筆した Dana Epp のブログからセキュリティ ブロガー ネットワークにシンジケートされたブログです。 元の投稿を読む: https://danaepp.com/guide-to-finding-zombie-apis

87% ゾンビ API #9 35% 40% インベントリ API API の使用状況を分析する バージョン管理をチェックする 無視の兆候を探す セキュリティ スキャンを実行する 私は同意しません。