Accueil Cyber Sécurité Les API parfaitement codées peuvent être sensibles aux attaques

Les API parfaitement codées peuvent être sensibles aux attaques

76
0

Une interface de programmation d’application (API) est un moyen pour deux ou plusieurs programmes informatiques de communiquer entre eux – un type de logiciel qui offre un service à d’autres logiciels. Le développement d’API a mis l’accent sur le “shift left”, c’est-à-dire que les tests de sécurité, la qualité et les performances sont effectués uniquement pendant le processus de développement plutôt que pendant tout le cycle de publication.

Bien que cela ait permis aux départements de développer et de déployer leurs propres API “sécurisées”, cela suppose que le développeur est heureux de “noter ses propres devoirs” et de corriger le alors que beaucoup détestent cet aspect du travail.

Mais il y a un autre danger plus grave : cela crée un faux sentiment de sécurité. L’hypothèse est que les API qui sont mises en service sont alors à l’épreuve des balles.

En réalité, même si les efforts du shift left sont bénéfiques, aucune mesure ne pourra arrêter une attaque automatisée persistante. Si les actifs protégés par cette API sont suffisamment attrayants, les attaquants persisteront et la compromettront généralement en utilisant ses propres fonctionnalités contre elle dans une attaque connue sous le nom d’abus de logique métier.

Même si l’API est parfaitement codée, qu’elle respecte la spécification API pour laquelle elle a été conçue, qu’elle est correctement inventoriée et qu’elle a été testée pour s’assurer qu’elle n’est pas sensible à l’une des dix principales menaces API de l’OWASP (Open Web Application Security Project), elle peut toujours être sondée et compromise.

Les recherches menées au cours du premier semestre 2022 révèlent que les API ont été soumises à des abus de logique commerciale automatisée de nombreuses façons. Plus de trois milliards de robots d’achat ont été utilisés pour cibler des API bien formées avec un réseau dense de charges utiles de fuzzing hautement volumétriques et géographiquement distribuées. Plus de 290 millions de demandes de cartes cadeaux malveillantes ont utilisé une énumération basée sur le fuzzing des motifs numériques sur les API prenant en charge les microservices de paiement et de caisse. Et plus de 37 millions de demandes de spam de commentaires ont été détectées contre les flux de gestion de la relation client.

Attaques combinées

Les API parfaitement codées et inventoriées demandent plus d’efforts pour être compromises et les attaques utiliseront donc généralement plusieurs méthodes du Top Ten de l’OWASP. Par exemple, nous avons vu quelque chose que nous appelons le tiercé d’attaque où les attaquants ont utilisé l’API2 (Authentification utilisateur cassée), l’API3 (Exposition excessive des données) et l’API9 (Gestion inappropriée des actifs), pour effectuer une reconnaissance et une analyse détaillées du fonctionnement de chaque API, de la façon dont elles interagissent entre elles et du résultat attendu. Ces informations ont ensuite été utilisées à des fins malveillantes.

Lire aussi :  La surveillance post-commercialisation des dispositifs médicaux est une affaire sérieuse

Un autre exemple concret est l’étude de cas Ulta Beauty, où une attaque par énumération à grande échelle a été exécutée contre une API d’inventaire tierce. Le fournisseur de l’API de recherche d’inventaire a informé l’équipe de sécurité de l’entreprise d’une augmentation du trafic, demandant de l’aide pour arrêter l’attaque. L’enquête a fait correspondre l’attaque à l’OWASP API4 (Manque de ressources et limitation du débit) et API5 (Autorisation de niveau de fonction brisée).

Au départ, les attaquants ont ciblé l’API Web avant de passer à l’API mobile qui fournit des informations similaires. L’attaque a ciblé directement l’API d’inventaire, sans toucher aucune autre application ou fonction Web (en revanche, un comportement normal montrerait que l’utilisateur traverse plusieurs API, générant plus de 40-50 cookies en parcourant l’inventaire, alors que l’attaque n’en a généré qu’un seul).

Provenant d’adresses IP proxy résidentielles, l’attaque a fait tourner 153 000 combinaisons uniques de produits et d’UGS tout en grattant 61 000 codes postaux et 33 000 produits, mais les efforts d’atténuation du Web Application Firewall (WAF) et du Content Delivery Network (CDN) ont été inefficaces. Il n’a été arrêté que par des politiques qui ont bloqué efficacement 85,9 millions de requêtes.

La difficulté de la détection

Dans ce cas particulier, l’entreprise a été alertée par son fournisseur, mais comment les entreprises peuvent-elles repérer les attaques contre ce qu’elles considèrent comme des API sécurisées ? Les pare-feu d’applications Web (WAF) ou les outils de prévention des bots sont inefficaces pour prévenir une attaque spécifique à une API pour plusieurs raisons.

Les WAF utilisent des signatures pour détecter les vulnérabilités connues telles que décrites dans la liste des 10 principales menaces des applications Web de l’OWASP ; ils auront donc du mal à trouver et à bloquer les attaques qui semblent légitimes, et ils sont incapables de traiter l’ensemble du cycle de vie de la protection des API. Les outils bot s’appuient sur l’instrumentation JavaScript pour collecter la télémétrie nécessaire pour comprendre et bloquer l’attaque. Comme une API est sans client, elle ne peut pas être instrumentée de cette manière. Par conséquent, ceux qui croient que leurs API sont sécurisées et s’appuient sur des outils de sécurité Web traditionnels se bercent d’un faux sentiment de sécurité.

Lire aussi :  Choisis le meilleur pare-feu d'applications Web pour toi

La première étape de toute initiative de protection des API doit toujours être un inventaire du temps d’exécution. Cela permet de consigner automatiquement tous les points d’extrémité connus et inconnus, ce qui aide à découvrir et à hiérarchiser les API en évaluant le risque qu’elles représentent et en appliquant la protection contre l’exposition des données sensibles et la protection contre les abus de logique métier. L’étape suivante consiste à protéger les API des attaques en utilisant l’apprentissage automatique pour déterminer l’intention des transactions (qu’elles soient effectuées par des bots ou des individus), puis à les bloquer rapidement ou à les envoyer sur un autre chemin.

La sécurité de l’exécution étant couverte, les équipes de développement devraient se pencher sur des solutions de test plus spécifiques aux API pour compléter et renforcer les efforts existants en matière de quart gauche. Les solutions de test dynamique de la sécurité des applications (DAST) qui utilisent les spécifications et la documentation pour comprendre le fonctionnement d’une API, puis recherchent les vulnérabilités, devraient également être envisagées. Les outils de test traditionnels axés sur le Web n’ont pas la capacité de dériver le contexte de l’API nécessaire pour tester et trouver les failles et c’est là que DAST peut vraiment apporter une valeur ajoutée.

Il faut aussi accepter que, même si le shift left aide les organisations à fournir des API plus sûres, même une API parfaitement codée peut être attaquée. Les listes OWASP Top Ten sont utiles, mais doivent être considérées comme un point de départ.

Tant que nous ne ferons pas face au fait que toutes les API tomberont entre les mains d’un attaquant déterminé, nous ne pourrons pas commencer à les protéger de manière adéquate.

Andy Mills est VP pour EMEA chez Cequence Security

Tu pourrais aussi lire :

Types de tests de sécurité expliqués avec des exemples:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t’inscrivant à l’abonnement Abonnement Premium.

  • Individuel 5 £ par mois ou 50 £ par an. S’inscrire
  • Multi-utilisateur, entreprise &amp ; Comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & Accessible


” Europol arrête un gang de fraudeurs de crypto-monnaies
Abus et harcèlement sexuels des femmes “
Article précédentProblèmes de cybersécurité pour l’industrie mobile
Article suivantEuropol arrête un gang de fraudeurs de crypto-monnaies