A fundação OWASP (sigla em inglês para a comunidade Projeto Aberto de Segurança em Aplicações Web) publicou sua última atualização dos maiores riscos de segurança em APIs. Aqui, compartilhamos uma visão geral de cada vulnerabilidade, o que isso significa para a sua empresa e como isso afeta a forma como você deve proteger suas APIs.
Durante a análise, vamos incluir medidas de mitigação e recursos que podem complementar essas medidas com base na Plataforma Amplify da Axway para abordar cada risco.
API 5: falha na autorização de nível funcional
Atualmente, a análise da OWASP apresenta três tipos de problemas de autorização: autorização de nível funcional, propriedade de objeto e nível de objeto.
Com a falha na autorização de nível funcional, usuários acabam tendo acesso a APIs que não deveriam estar autorizados a acessar. Esses casos podem incluir APIs administrativas acessíveis por usuários não administradores ou clientes que têm acesso à manipulação de dados além do desejado.
O problema:
Um atacante tentará mapear suas APIs de várias maneiras para enviar uma solicitação bem-sucedida a um endpoint ao qual ele não deveria ter acesso. A complexidade das aplicações modernas, com seus muitos papéis e grupos, pode permitir que o atacante envie uma solicitação a um endpoint aparentemente restrito e tenha essa solicitação processada.
O que pode ser feito:
Primeiramente, sua solução deve ter uma política padrão de “negar tudo”. Isso garantirá que seus desenvolvedores e administradores de API atribuam explicitamente os papéis corretos para acessar essas APIs.
Se suas APIs administrativas são acessadas apenas por pessoas internas, então você deve bloquear o acesso a essas APIs fora da sua rede.
API 4: consumo irrestrito de recursos
Em resumo, um provedor de recursos não impõe restrições ao uso dos recursos de infraestrutura.
O problema:
Atender solicitações de API requer recursos como largura de banda de rede, CPU, memória e armazenamento. Ataques bem-sucedidos podem levar a negação de serviço (DoS) ou aumento nos custos operacionais.
O que pode ser feito:
Seu time responsável pela configuração de uma solução de gerenciamento de API deve entender esse problema e sua possível resolução. Testar suas APIs simulando ações de possíveis atacantes ajudará a identificar APIs vulneráveis.
API 3: falha na autorização de propriedade de nível de objeto
Essa categoria combina as falhas de exposição excessiva de dados e atribuição em massa, focando na causa raiz: a falta ou validação inadequada de autorização no nível da propriedade do objeto.
O problema:
Um usuário mal-intencionado pode manipular solicitações para realizar muitas ações, como adicionar dinheiro ao seu saldo ou injetar ataques contra o sistema subjacente.
O que pode ser feito:
Sempre aborde esse tipo de problema na raiz, que está no código e/ou na configuração. Analise suas funções que vinculam a entrada do cliente ao código e adote uma abordagem de atribuição explícita.
API 2: falha na autenticação
A autenticação em APIs pode ser mais complexa do que em aplicativos web tradicionais. Mecanismos de autenticação devem diferir de acordo com o tipo de aplicação, como “Um aplicativo web x Um cliente IoT”.
O problema:
Os atacantes tentarão acessar sua aplicação manipulando seus mecanismos de autenticação, seja contornando o próprio mecanismo ou atacando os usuários do sistema.
O que pode ser feito:
Entenda seus mecanismos atuais de autenticação e os fluxos da API de autenticação, lembrando que OAuth e chaves de API não são autenticações.
API 1: falha na autorização de nível de objeto
No topo da lista está a falha na autorização de nível de objeto. Isso se refere à maneira errônea como os IDs são vinculados à autorização. Sistemas seguros devem ter verificações de autorização que dependam de políticas de usuário e hierarquias.
O problema:
Atacantes tentarão enumerar IDs para obter acesso a dados de outros usuários ou até mesmo funcionalidades administrativas.
O que pode ser feito:
A solução correta deve ser selecionada com base nas tecnologias e arquitetura, onde cada controlador adota a autorização implementada.
Essa análise da OWASP é um reconhecimento de que o jogo muda quando você passa do desenvolvimento de uma aplicação tradicional para uma baseada em APIs. A lista é uma reorganização e uma re-priorização de um conjunto muito maior de riscos.
A Plataforma Amplify da Axway é uma das muitas ferramentas que podem ajudar a reduzir esses riscos – já que o Amplify permite que você governe, proteja e monitore APIs no local e em várias nuvens a partir de um local central, enquanto dá às equipes de desenvolvimento a liberdade de usar as ferramentas que funcionam melhor para elas.
Autores:
Aleksandr Nartovich
Arquiteto Principal de Pré-Vendas III
Lydia Defranchi
Editor-chefe, blog e jornalismo da Axway
