Blog

Three ways for attackers to penetrate API

2022-05-09PV:141

When evaluating the attack surface provided by the API, bad actors may find a variety of ways to obtain access. But their efforts usually follow three patterns:

登录攻击


对登录和身份验证系统的攻击是一个自然的起点,因为它们很难通过现有的API安全解决方案进行检测和阻止。不良行为者试图通过使用暴力破解和自动撞库攻击来找到访问与API关联的数字资源的”入路”。


通过探测登录环境(通常使用现成的软件映射,然后发布到GitHub上),攻击者可以轻松发起攻击以查找漏洞。如果获得访问权限,游戏就会开始,因为不良行为者(似乎是普通用户)会发现并利用其他漏洞,这些漏洞可能会在检测到之前的几个月内进行。


登录攻击还可用于阻止合法用户登录、降低用户体验并损害面向公众的API的有效性,从而破坏启用了API的服务。这些中断通常是由对门禁系统的DoS或DDoS攻击引起的。


API DoS和DDoS攻击


API DDoS 攻击通常涉及从多个客户端发送流量以使API服务过载。即使实施了速率限制控制以防止服务器崩溃,它们也无法防止服务中断和 API 用户体验严重降级。


尽管有这些保护措施,黑客仍然经常使用经过训练的僵尸网络来执行这些攻击,以检测并保持在速率限制控制下,以最大限度地提高效率。由于每个客户端都在发送正常的流量,因此API管理系统、负载均衡器和其他DDoS防护安全解决方案和设备将无法检测到攻击。


这些攻击中的大多数本质上都不是容量耗尽型攻击,实际上针对特定的API漏洞来破坏服务。例如,使用上述技术之一访问你的 API的黑客可能会尝试消耗分配给API的所有内存或CPU,以尽可能长时间地中断服务。


越来越多的组织正在经历此类攻击。如果他们没有适当的安全策略,他们无力阻止他们,也无法为其用户和客户恢复正常服务。


应用程序和数据攻击


网络钓鱼,恶意软件和中间人攻击通常用于诱骗用户连接到受感染的系统,然后系统捕获其令牌,凭据和API密钥。然后,冒充经过身份验证的用户的黑客能够在API管理系统不知情的情况下访问API服务。由于API公开了一系列功能,因此攻击者随后可以参与:


数据提取或盗窃


数据删除或操作


账户接管


数据注入到应用程序服务中


恶意代码注入应用程序服务


远程应用程序或系统控制


……


Verizon数据泄露调查报告发现,81%的已确认数据泄露利用了被盗的凭据。即使是最先进的身份验证方法也无法使用泄露的凭据阻止攻击。同样重要的是要注意,这些操作中的任何一个也可能由流氓内部人员,顾问或合作伙伴API生态系统中具有有效凭据的人员执行。


可以从API安全事件中学到什么


USPS漏洞影响了6000万用户。该漏洞是名为”通知可见性”的应用程序的一部分,该应用程序为企业,广告商和其他批量邮件发件人发送的邮件提供近乎实时的跟踪信息。该漏洞允许任何登录 USPS.com 的用户使用API查看其他用户的帐户详细信息,包括他们的电子邮件地址,用户名,用户ID,帐号,地址和其他数据。在某些情况下,他们甚至可以代表他人更改帐户详细信息。


在USPS违规前几周,Google报告了其Google+社交网络应用程序中的一个漏洞。该错误是Google+ People API的一部分,该API存储用户信息,如姓名,电子邮件,年龄,昵称和生日。与其他社交媒体网站类似,Google+ 用户可以允许第三方应用访问其个人资料数据以及他们朋友的公开个人资料数据。但该漏洞使朋友的私人数据也变得可访问,影响了50万个用户帐户,甚至可能促使谷歌决定完全淘汰Google+。


就在谷歌新闻报道之前,Facebook还宣布了其API代码中的漏洞。”查看方式”功能代码中的一个错误,使攻击者有可能窃取访问令牌,接管3000万用户的帐户并损害他们的个人数据。


这些广为人知的违规行为强调了将API安全视为不仅仅是一次性事件的重要性。即使尽一切努力在开发和运营过程中解决网络安全问题,最好的代码编写者和安全架构师仍然容易犯错误。这些错误通常以API设计缺陷而不是编码错误的形式出现,鉴于API可能被滥用,误用和攻击的数百种方式,因此很难识别它们。


可能需要几个月甚至几年才能找到它们。事实上,USPS漏洞在长达两年的时间里一直未被发现,而Facebook的违规行为花了14个月才被发现。如果没有对每个 API 的可见性,几乎不可能快速找到并修复潜在的破坏性错误。Web 应用程序防火墙 (WAF) 和 API 管理系统缺乏智能来检测可疑和异常活动的类型,这些活动指示错误何时被利用。


在AI上构建API网络安全策略


由于API开发没有放缓的迹象,因此没有像现在这样来支撑API安全性的时间。API管理系统提供了一些安全功能,但不足以阻止日益复杂的黑客。需要一个网络安全解决方案,而不仅仅是攻击特征码和访问控制策略。


API网络安全策略必须包括强大的基础安全功能,以提供针对漏洞的第一线防御,包括清晰了解每个API上的活动。如果防御被渗透,还需要能够检测并自动阻止异常和恶意行为,包括常见的威胁操作和尚未发现的零日攻击。而且,鉴于连接量庞大,不能依赖手动方法。


但可以依靠人工智能(AI)。基于AI构建的API安全策略能够超越静态规则和策略。通过持续检查和报告所有活动,AI可让你深入了解API流量,并可以检测数据和应用程序上的异常行为,从而自动阻止黑客利用API。


在AI上构建API安全性时,可以主动保护整个组织的API基础架构免受黑客和不良行为者的侵害。


作者:Bernard Harguindeguy

Download Center

Name

Phone Number

Email

Position

Industry

Company

Success!