Gölge API’leri kötü niyetli saldırılar için önemli bir hedef, yeni raporu ortaya koyuyor

kötü niyetli API korumasız uygulama programlama arabirimlerini (API) hedefleyen istekler, sektördeki en büyük tehdittir. Araştırma raporu tarafından Cequence Security açıkladı.

Bu talepler, çalıntı kredi kartlarının kullanımını test etmek için spor ayakkabı botlarından kimlik bilgisi doldurma kampanyalarına kadar çeşitli botlardan yapıldı. Cequence Security, bu saldırıların yıl boyunca artarak devam ettiğini kaydetti.

Ancak iyi kodlanmış API’ler bile tehditlere karşı bağışık değildir. Rapor ayrıca, saldırganların Açık Web Uygulaması Güvenlik Projesi tarafından açıklanan ilk 10 API tehdidini giderek daha fazla kötüye kullandıkları konusunda uyardı (OWASP), ilk 10 API güvenlik açığını vurgulayan kar amacı gütmeyen bir kuruluş. Listedeki güvenlik açıkları, yalnızca gölge API’lerde değil, herhangi bir API’de gizlenebilir. 2019 yılında yayınlanan liste şu isimlerden oluşuyor:

1. 1. 1. API1: Bozuk nesne düzeyinde kimlik doğrulama
      2. API2: Bozuk kimlik doğrulama
      3. API3: Aşırı veri maruziyeti
      4. API4: kaynak eksikliği ve hız sınırlaması
      5. API5: Bozuk işlev düzeyi kimlik doğrulaması
      6. API6: Toplu atama
      7. API7: Güvenlik yanlış yapılandırması
      8. API8: Enjeksiyon
      9. API9: Yanlış varlık yönetimi
      10. API10: Yetersiz günlük kaydı ve izleme

İkinci en büyük API güvenlik tehdidi, saldırganların yanlış kodlanmış ve envantere alınmış API’leri hedef aldığı API kötüye kullanımıydı. 2022’de bu tür 3,6 milyar saldırı tespit edildi ve engellendi. En çok engellenen saldırılar, spor ayakkabıları ve lüks ürünleri hedef alan şaşırtıcı 3 milyar alışveriş botu, ardından 290 milyon hediye kartı kontrol saldırısı ve ardından flört ve alışveriş uygulamalarında 237 milyon sahte hesap oluşturma. .

API güvenliğine yönelik en yaygın üçüncü tehdit, API2, API3 ve API9’un birleşimiydi. Rapora göre, bu saldırı vektörlerinin birleşimi, saldırganların hedef API’lerin nasıl çalıştığını ve nasıl iletişim kurduklarını analiz ettiğini gösteriyor.

“Yalnızca 20 milyarlık örneklem büyüklüğü, endüstrilerdeki işletmelerin bu tür tehditlerden etkilenme olasılığının yüksek olduğu anlamına geliyor.”

–Cequence Security’de tehdit araştırması direktörü William Glazier

Cequence ayrıca, ortak ekosistem API’lerinin de bir tehdit oluşturduğuna dikkat çekerek, onu “hedef açısından zengin bir ortam” olarak nitelendirdi. Tüketiciler için yararlı işlevler sağlarken, ara bağlantıları ve birden çoğa bağlantıları da onları saldırganlar için ana hedef haline getirdi. Bir durumda, saldırganlar aynı anda birden fazla finansal kuruma karşı bir dizi koordineli kimlik bilgisi doldurma saldırısı yürütmek için bir finansal hizmetler iş ortağı ekosistem API’sini hedef aldı. Gözlemlenen haftalardan birinde Cequence, bu API’leri kötüye kullanan 50 milyondan fazla kötü amaçlı isteği engelledi.

Bu saldırılar genellikle gerçek kullanıcı etkileşiminin olmadığı veya bilinen kötü amaçlı altyapıdan geldiği ülkelere kadar uzanır. Kötü amaçlı isteklerin ayırt edici özelliği, yüksek oturum dönüşü ve yüksek oturum açma hatası oranını içerir. Ayrıca, yüksek proxy IP adresi dönüşü ve belirli zaman aralıkları arasında yapılan istekler ile karakterize edilirler.

Cequence Security’de tehdit araştırması direktörü William Glazier, “Bulgularımız, BT ve güvenlik liderlerinin doğru kodlanmış API’lerin yanı sıra hatalı olanların da saldırıya uğrayabileceğini tam olarak anlamalarının önemini vurguluyor” dedi. basın bülteni. “Yalnızca 20 milyarlık örneklem büyüklüğü, endüstrilerdeki işletmelerin bu tür tehditlerden etkilenme olasılığının yüksek olduğu anlamına geliyor.”

Sonuç olarak rapor, kuruluşları API’lerini OWASP listesine ve aynı zamanda iyi kodlanmış API’lere saldırılabilecek daha fazla yolu açıklayan bir kategori olan API10+’ya göre kontrol etmeye çağırdı.