Evitare l'Apocalisse: una guida per trovare le API Zombie

Notizia

CasaCasa / Notizia / Evitare l'Apocalisse: una guida per trovare le API Zombie

Dec 22, 2023

Evitare l'Apocalisse: una guida per trovare le API Zombie

Home » Security Bloggers Network » Avoiding the Apocalypse: A Guide to Finding

Home » Security Blogger Network » Evitare l'Apocalisse: una guida per trovare le API Zombie

Considera questa statistica tratta da un recente rapporto di Noname Security. Più di87% degli intervistati è preoccupato per i rischi per la sicurezza derivanti da API obsolete o non necessarie. Nel mondo dell'hacking API, li chiamiamoAPI zombie.

Conosci il tipo di endpoint API di cui sto parlando. Sono quelle API dimenticate che non vengono più mantenute ma esistono ancora per "compatibilità con le versioni precedenti". Queste API possono diventare obsolete, inaffidabili e vulnerabili agli hacker. Un potenziale rischio per la sicurezza per qualsiasi applicazione che li utilizza.

È una classe di vulnerabilità così importante. Atterra come#9nell'elenco 2023 OWASP API Security Top 10 come API9:2023 Gestione impropria dell'inventario.

Parliamone prima che un codice difettoso ti annienti e ti unisca ai non morti. (gemito... sì, è uno scherzo sugli zombie piuttosto brutto)

Trovare le API zombie è fondamentale per noi poiché queste API trascurate possono essere una miniera d’oro di vulnerabilità e lacune nella sicurezza. Possiamo sfruttare queste vulnerabilità per ottenere accesso non autorizzato ai dati, aggirare i controlli di sicurezza aggiunti alle versioni successive e persino compromettere interi sistemi quando non vengono mantenute le patch in corso.

Le API tendono a diventare più fragili nel tempo. Questo è il motivo per cui le best practice per la sicurezza delle API parlano sempre di eliminazione e disabilitazione delle versioni precedenti.

Ma i team di sicurezza che gestiscono i rischi non sono sempre consapevoli delle API esposte a causa della proliferazione delle API. E quando più di un terzo (35%) delle organizzazioni rilasciano quotidianamente aggiornamenti alle proprie API e un altro40%fallo settimanalmente, dal punto di vista della sicurezza diventa molto più difficile tenere traccia di tutto il traffico API.

Ecco un'altra scoperta importante emersa dalla ricerca di Noname Security. Con la migrazione al cloud delle app esistenti e l'adozione di servizi basati su SaaS che offrono nuovo valore aziendale, entro i prossimi due anni, si prevede che oltre il 50% delle organizzazioni intervistate avrà API attive implementate in tutte le proprie app.

In combinazione con le architetture delle app API-first che stanno diventando sempre più diffuse per gli sviluppatori in questi giorni, la rapida produzione di API porterà senza dubbio a una maggiore espansione delle API e al rischio di API più vulnerabili.

Sebbene una rigorosa strategia di governance delle API possa aiutare a mitigare questo rischio, la realtà è che è difficile gestire la proliferazione delle API quando il team dell'app utilizza API di terze parti e allo stesso tempo connette i dati a sistemi interni ed esterni di cui i team di sicurezza potrebbero non disporre visibilità a.

Se desideri identificare le API zombie all'interno di un'organizzazione, puoi eseguire diversi passaggi.

Il primo passaggio prevede la creazione di un inventario di tutte le API utilizzate nell'organizzazione di destinazione. Ciò include API sia interne che esterne. Ciò ti aiuterà a comprendere l'ambito di utilizzo dell'API e a identificare eventuali zombie che potrebbero esistere. Gli strumenti di rilevamento API possono essere utili durante la ricognizione.

Una volta ottenuto un inventario delle API, puoi iniziare ad analizzarne l'utilizzo. Ciò implica esaminare il numero di richieste effettuate a ciascuna API, chi sta effettuando le richieste e come vengono utilizzate tali API. Ciò può aiutarti a identificare le API che non vengono più utilizzate o che vengono utilizzate solo da sistemi legacy. Questo è molto più difficile da fare se ci si limita ai test black-box. Tuttavia, se riesci ad accedere ai dati sul traffico del gateway API, in genere puoi analizzarli.

È importante verificare se le API di destinazione dispongono del controllo delle versioni. Il controllo delle versioni consente il supporto per la compatibilità con le versioni precedenti dell'endpoint API. Significa anche che le versioni precedenti potrebbero non essere più mantenute e potrebbero essere vulnerabili. Controlla i metadati come percorso URL, cookie, attestazioni nei token di accesso, intestazioni HTTP personalizzate e parametri di richiesta HTTP per evidenti artefatti di controllo delle versioni. Se trovi versioni obsolete di un'API, dovresti prima considerare le minacce di attacco lì.

Le API vengono spesso trascurate e non mantenute. Segni di negligenza includono documentazione obsoleta, mancanza di aggiornamenti e assenza di supporto o informazioni di contatto. Se incontri API che presentano questi segni, potrebbero essere zombi. Prestare particolare attenzione ai metadati che potrebbero esporre framework e servizi meno recenti. Non è raro imbattersi in una vecchia versione API in esecuzione in immagini di contenitori molto vecchie che potrebbero essere vulnerabili.