信息化觀察網(wǎng)

F5 Labs 研究人員宣稱，API 已成黑客容易盯上的靶子。

一系列因素導(dǎo)致應(yīng)用程序編程接口 (API) 成為網(wǎng)絡(luò)罪犯眼中易于得手的目標(biāo)。

網(wǎng)絡(luò)安全公司 F5 Labs 日前發(fā)布《2019 應(yīng)用程序保護(hù)報(bào)告》，探索可用于入侵 API 的各種攻擊技術(shù)。

研究人員介紹，導(dǎo)致 API 成黑客攻擊靶子的最大因素，是過于寬泛的權(quán)限。在博客帖子中，研究人員 Ray Pompon 和 Sander Vinberg 寫道：因?yàn)椴皇墙o用戶使用的，API 通常設(shè)置為能訪問應(yīng)用程序環(huán)境中的任何數(shù)據(jù)。

權(quán)限用于生成用戶請(qǐng)求并傳入 API，但問題在于，黑客也能很方便地利用這些權(quán)限。

由于 API 擁有不受限制的訪問權(quán)限，通過 API 實(shí)施的攻擊可賦予攻擊者看清一切的可見性。什么都好，直到攻擊繞過用戶身份驗(yàn)證過程，直達(dá)下游應(yīng)用。由于 API 擁有不受限制的訪問權(quán)限，通過 API 實(shí)施的攻擊可賦予攻擊者看清一切的可見性。

F5 Labs 將 API 描述為網(wǎng)絡(luò)罪犯慣用手法易于突破的目標(biāo)，指出 API 所用 URI（統(tǒng)一資源標(biāo)識(shí)符）、方法、頭和其他參數(shù)可被攻擊者濫用。

研究人員稱：事實(shí)上，大多數(shù)典型 Web 攻擊，比如注入、憑證暴力破解、參數(shù)篡改和會(huì)話欺騙，效果驚人。

另一個(gè)關(guān)鍵問題，則是可見性。研究人員宣稱，業(yè)內(nèi)缺乏對(duì) API 及其安全風(fēng)險(xiǎn)的態(tài)勢(shì)感知。

研究人員稱：API 本就應(yīng)該在后臺(tái)工作，這沒什么不好；但如果連被黑也發(fā)生在后臺(tái)，我們?nèi)繉氋F資料都在看不見的情況下被盜，就不好了。

業(yè)內(nèi)缺乏對(duì)API及其安全風(fēng)險(xiǎn)的態(tài)勢(shì)感知

正如我們?cè)谌ツ陥?bào)告的后續(xù)跟進(jìn)中指出的，API 連接的端口往往不止 80/443。它們通常深藏在 Web 服務(wù)器某處多層目錄下，其架構(gòu)細(xì)節(jié)也往往只有開發(fā)團(tuán)隊(duì)才清楚。

現(xiàn)實(shí)就是，安全團(tuán)隊(duì)可能看不到自身環(huán)境中可能存在有此類潛在影響的連接。

為緩解此類威脅，F(xiàn)5 建議公司企業(yè)做到以下幾點(diǎn)：

1. 列出 API 清單，了解其架構(gòu)和故障模式的影響；

2. 要求 API 身份驗(yàn)證；限制 API 權(quán)限；

3. 加密 API 連接；

4. 使用 API 專用工具，比如代理或防火墻；

5. 運(yùn)用邊界掃描、漏洞評(píng)估和滲透測(cè)試等手段測(cè)試 API。

上月曝光的 Capital One 黑客案中，檢方宣稱涉案黑客 Paige Thompson 可能入侵了其他 30 多個(gè)公司。該報(bào)告的發(fā)布正值檢方透露該消息之時(shí)。但并無證據(jù)顯示 Thompson 有意售賣或分發(fā)其盜取的數(shù)據(jù)。