Tác động
API bị xâm phạm cho phép kẻ tấn công bỏ qua giao diện người dùng và tương tác trực tiếp với cơ sở dữ liệu phụ trợ và dịch vụ [S1]. Điều này có thể dẫn đến việc lấy cắp dữ liệu trái phép, chiếm đoạt tài khoản bằng biện pháp cưỡng bức hoặc không có dịch vụ do cạn kiệt tài nguyên [S3][S5].
Nguyên nhân gốc rễ
Nguyên nhân cốt lõi chính là do logic bên trong bị lộ thông qua các điểm cuối thiếu xác thực và bảo vệ đầy đủ [S1]. Các nhà phát triển thường cho rằng nếu một tính năng không hiển thị trong giao diện người dùng thì tính năng đó an toàn, dẫn đến các điều khiển truy cập [S2] bị hỏng và các chính sách CORS dễ dãi tin tưởng quá nhiều nguồn gốc [S4].
Danh sách kiểm tra bảo mật API cần thiết
- Thực thi kiểm soát truy cập nghiêm ngặt: Mọi điểm cuối phải xác minh rằng người yêu cầu có các quyền thích hợp đối với tài nguyên cụ thể đang được truy cập [S2].
- Giới hạn tỷ lệ triển khai: Bảo vệ khỏi lạm dụng tự động và các cuộc tấn công DoS bằng cách giới hạn số lượng yêu cầu mà khách hàng có thể thực hiện trong một khung thời gian cụ thể [S3].
- Định cấu hình CORS chính xác: Tránh sử dụng nguồn gốc ký tự đại diện (
*) cho các điểm cuối được xác thực. Xác định rõ ràng nguồn gốc được phép để ngăn chặn rò rỉ dữ liệu giữa các trang [S4]. - Kiểm tra khả năng hiển thị điểm cuối: Thường xuyên quét các điểm cuối "ẩn" hoặc không có giấy tờ có thể làm lộ chức năng nhạy cảm [S1].
FixVibe kiểm tra nó như thế nào
FixVibe hiện bao gồm danh sách kiểm tra này thông qua nhiều lần kiểm tra trực tiếp. Các đầu dò có cổng hoạt động kiểm tra giới hạn tốc độ điểm cuối xác thực, CORS, CSRF, chèn SQL, các điểm yếu của luồng xác thực và các vấn đề khác mà API gặp phải chỉ sau khi xác minh. Kiểm tra thụ động kiểm tra các tiêu đề bảo mật, tài liệu API công khai và khả năng hiển thị OpenAPI cũng như các bí mật trong gói ứng dụng khách. Quét repo bổ sung thêm đánh giá rủi ro ở cấp mã đối với CORS không an toàn, nội suy SQL thô, bí mật JWT yếu, việc sử dụng JWT chỉ giải mã, lỗ hổng chữ ký webhook và các vấn đề phụ thuộc.