São Paulo/SP – 01 de setembro de 2022. A OWASP (Open Web Application Security Project), em 2019, criou uma versão do seu TOP 10 abordando a segurança em API, reconhecendo o papel que as APIs desempenham na arquitetura de aplicativos hoje.
*Por Leonardo Corazza
Hoje em dia, APIs são fundamentais para garantir o funcionamento de sistemas e aplicativos móveis. Por padrão, as APIs são inseguras e por isso, se tornaram um alvo para atacantes.
A OWASP (Open Web Application Security Project), em 2019, criou uma versão do seu TOP 10 abordando a segurança em API, reconhecendo o papel que as APIs desempenham na arquitetura de aplicativos hoje.
Segue abaixo o TOP 10:
API1:2019 Broken Object Level Authorization
Permite que um atacante consiga explorar um endpoint de API, manipulando o ID de um objeto, podendo levar ao acesso não autorizado a dados confidenciais. A falha também pode ser conhecida como IDOR (Insecure Direct Object Reference)
API2:2019 Broken User Authentication
O mecanismo autenticação é sempre um vetor de ataque, e caso não esteja bem configurado, com tokens e chaves criptográficas fortes, pode permitir que um atacante possua o controle sobre contas de outros usuários no sistema
API3:2019 Excessive Data Exposure
Por design, a API retorna dados confidenciais ao cliente. Esses dados devem ser filtrados antes de serem apresentados ao usuário. A exposição de dados excessiva pode levar a exposição de dados confidenciais.
API4:2019 Lack of Resources & Rate Limiting
A API deve estar protegida contra uma quantidade excessiva de solicitações e carga útil. Caso não haja esse tipo de proteção, atacantes podem realizar ataques de DoS (Denial of Service) e ataques de força bruta, podendo deixar a API indisponível
API5:2019 Broken Function Level Authorization
Algumas funções administrativas geralmente são expostas como APIs. Com esse conhecimento, atacantes podem realizar ataques com o objetivo de encontrar essas funções, podendo permitir o acesso a funções sem autorização.
API6:2019 Mass Assignment
Por design, uma API pode expor o nome das propriedades. Caso não haja uma definição dos parâmetros esperados, um atacante poderá tentar adivinhar propriedades do objeto ou fornecer propriedades adicionais, com o objetivo de escalamento de privilégios e manipulação de dados.
API7:2019 Security Misconfiguration
Uma API com falhas na configuração pode permitir a exploração pelos atacantes, com o objetivo de expor coletar informações confidenciais
API8:2019 Injection
Falhas de injeção ocorrem quando dados não confiáveis são interpretado como parte de um comando. Atacantes podem realizar a exploração com o objetivo de extrair dados sensíveis
API9:2019 Improper Assets Management
É fundamental manter um inventário atualizado e a documentação da API é fundamental. Versões de API antigas ou de homologação podem conter vulnerabilidades e dados expostos
API10:2019 Insufficient Logging & Monitoring
A falta de registro, monitoramento e alerta adequados pode permitir que ataques a API passem despercebidos.
Existem algumas recomendações e boas práticas para evitar essas vulnerabilidades, como por exemplo:
- Não utilizar autenticação básica, utilizar OAuth ou JWT
- Utilizar segredos fortes nos tokens
- Definir data de expiração no token
- Utilizar HTTPS e cifras fortes
- Limitar requisições
- Validar input de dados do usuário
- Utilizar o método HTTP próprio para cada operação
- Utilizar UUID
- Desabilitar o modo debug
- Desabilitar versões antigas da API
Adicionalmente, é recomendado realizar PenTests periodicamente com o objetivo de encontrar fragilidades e validar se os controles estão bem aplicados.
— Leonardo Corazza é Cyber Security Specialist – RED TEAM na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
