Blog

Jul 07, 2023

API7:2019 Sicherheitsfehlkonfiguration: Was, Beispiel-Exploits und Präventionsmethoden

Startseite » Redaktionskalender » API-Sicherheit » API7:2019 Sicherheitsfehlkonfiguration:

Startseite » Redaktionskalender » API-Sicherheit » API7:2019 Sicherheitsfehlkonfiguration: Was, Beispiel-Exploits und Präventionsmethoden

Sicherheitsfehlkonfigurationen sind sehr häufige Sicherheitsrisiken, nicht nur in Webanwendungen, sondern auch in APIs. Sie gehören seit jeher zu den Top 10 der Webanwendungs-Schwachstellen des OWASP. Sie waren Teil der ursprünglichen OWASP Top 10 API-Sicherheitsrisiken, die 2019 veröffentlicht wurden, und haben es nun in die aktualisierte Liste von 2023 geschafft.

Sicherheitsfehlkonfigurationen bleiben auf Platz 7OWASP Top 10 API 2023RCaufgrund seiner weiten Verbreitung, einfachen Ausnutzbarkeit und leichten Erkennbarkeit.

Was genau sind Sicherheitsfehlkonfigurationen? Was verursacht sie und wie kann man sie lindern? Lesen Sie weiter, um es herauszufinden.

Bei Sicherheitsfehlkonfigurationen handelt es sich um Fehler und Versäumnisse bei der Konfiguration, Implementierung oder Wartung einer API, die zu Sicherheitslücken führen können. Dies geschieht, wenn Entwickler/IT-Teams bei der Implementierung und Konfiguration von APIs die Best Practices für Sicherheit nicht befolgt haben.

Es kann zu Sicherheitsfehlkonfigurationen kommen, weil Entwickler und IT-Sicherheitsteams es versäumen, die Angriffsfläche durch geeignete Konfigurationen ausreichend zu härten.

Es bedeutet lediglich, dass wesentliche API-Sicherheitseinstellungen nicht oder falsch implementiert wurden, wodurch gefährliche Lücken und Schwachstellen in der API entstanden sind. Bedrohungsakteure können diese Lücken ausnutzen, um massive Angriffe und Datenschutzverletzungen zu orchestrieren.

Diese Fehlkonfigurationen können auf verschiedenen Ebenen des API-Stacks auftreten, einschließlich des API-Servers, des API-Gateways, der Clientanwendung, der die API unterstützenden Infrastruktur, der Netzwerkebene, der Systemebene, der Anwendungsebene usw. Es gibt nahezu keinen Unterschied darin, wie sich diese Fehlkonfigurationen auf Web-Apps und APIs auswirken.

// Unsichere API Endpointapp.get('/api/user/:id', (req, res) => {const userId = req.params.id;// Benutzerdaten aus der Datenbank ohne Authentifizierung oder Autorisierung abrufenUser.findById( userId, (err, user) => {if (err) {return res.status(500).json({ error: 'Internal Server Error' });}if (!user) {return res.status(404) .json({ Fehler: 'Benutzer nicht gefunden' });}// Den Benutzer zurückgeben datares.json(user);});});In diesem Beispiel ist der API-Endpunkt /api/user/:id darauf ausgelegt Rufen Sie Benutzerdaten basierend auf der angegebenen ID ab. Es gibt jedoch keine Authentifizierungs- oder Autorisierungsprüfungen.

Der Code ruft den Benutzer direkt aus der Datenbank ab, ohne die Identität des Benutzers zu überprüfen oder sicherzustellen, dass er über die erforderlichen Berechtigungen verfügt.

Ein Angreifer, der diese Fehlkonfiguration ausnutzt, könnte einfach eine GET-Anfrage mit einem beliebigen ID-Parameter an /api/user/:id senden und Benutzerdaten ohne Authentifizierung oder ordnungsgemäße Autorisierung abrufen. Dadurch werden sensible Benutzerinformationen für unbefugte Personen zugänglich gemacht.

Eine Systemfehlkonfiguration ist eine Schwachstelle, die ausgenutzt werden kann, sei es in APIs, Webanwendungen, Netzwerken, Containern oder Entwicklungsplattformen. Wenn Sie APIs nicht ordnungsgemäß, unzureichend oder unsicher konfiguriert lassen, ist die API einer Vielzahl von Sicherheitsrisiken ausgesetzt.

Sicherheitslücken aufgrund von Fehlkonfigurationen gibt es in allen Formen und Größen mit unterschiedlichem Risikoniveau. Hier sind einige Beispiele dafür, was zu diesen Fehlkonfigurationen führen könnte.

Sehen Sie sich die vollständige Liste der API-Fehlkonfigurationen in unserem anCheckliste für API-Pentests.

Hier sind fünf Beispiele für API-Fehlkonfigurations-Angriffsszenarien und ihre möglichen Auswirkungen:

Der Verstoß gegen Capital One im Jahr 2019 ist ein reales Beispiel für die Ausnutzung von Sicherheitsfehlkonfigurationen durch Angreifer. Im Fall von Capital One stellten die Angreifer fest, dass eine Open-Source-WAF verwendet wurde, um die Apps und APIs des Unternehmens zu sichern. Diese WAF war nicht ordnungsgemäß konfiguriert und angemessen auf die Anforderungen und den Kontext der AWS-Umgebung des Unternehmens abgestimmt. Infolgedessen wurden die Zero-Trust- und Least-Privilege-Prinzipien nicht befolgt.

Da Angreifer zu freizügig sind, könnten sie die WAF leicht umgehen. Angreifer haben ein Injektionsskript erstellt, das auf den Backend-AWS-Cloud-Metadatendienst abzielt. Die WAF konnte den Inhalt der Nachricht nicht prüfen oder filtern und ließ die Verarbeitung der Injektionsanforderung durch das Backend zu. Jetzt könnte der Angreifer Metadaten sammeln, auf die er nicht hätte zugreifen sollen.

Mithilfe dieser Metadaten könnten sie andere Systeme innerhalb der IT-Umgebung durch einen Server-Side-Request-Forgery-Angriff (SSRF) gefährden. Hier ist ein genauerer Blick daraufAPI-Hacks und historische Instanzen, die unter die OWASP Top 10 fallen.

Eine der größten Auswirkungen von Sicherheitsfehlkonfigurationen besteht darin, dass vertrauliche Informationen und Systemdetails offengelegt werden. Die Offenlegung von Systemdetails und -konfigurationen könnte zu einer vollständigen Serverkompromittierung führen, die verheerende Folgen für das Unternehmen haben kann.

Eine Fehlkonfiguration der Sicherheit ist eineOWASP-API Top 10Sicherheitslücke, auch weil es Angreifern die Orchestrierung einer breiten Palette von Angriffen wie Remote-Angriffe, Directory-Traversal-Angriffe, SSRF-Angriffe, Authentifizierungs- und Autorisierungsangriffe, Cloud-basierte Angriffe usw. ermöglicht.

Der andere Grund dafür, dass Fehlkonfigurationen bei der Sicherheit eine der Top-10-Schwachstellen der OWASP-API darstellen, besteht darin, dass falsch konfigurierte APIs ein falsches Sicherheitsgefühl für Entwickler und das Unternehmen erzeugen. Daher glauben Entwickler, dass sie vor Bedrohungen geschützt sind, da die Konfigurationen vorhanden sind.

Wie wir jedoch gesehen haben, sind unsachgemäße und unzureichende Konfigurationen schlimmer als gar keine Konfigurationen vorhanden zu sein. Sie machen es Angreifern leicht, ihren Befehlen nachzukommen.

Sicherheitsfehlkonfigurationen haben einen Prävalenzwert von 3 und einenAusnutzbarkeitsbewertung von 3. Dies bedeutet, dass es sich um sehr häufige API-Schwachstellen handelt, die auch leicht ausgenutzt werden können. Mit der Verfügbarkeit automatisierter Tools können Angreifer diese Fehlkonfigurationen problemlos finden und ausnutzen.

Einer der Hauptgründe für die hohe Verbreitung dieser Schwachstellen sind die heutigen schnellen Entwicklungszyklen. Angesichts der unmöglichen Fristen haben Entwickler nicht genügend Zeit, ausreichend zu testen und auf Sicherheitsfehlkonfigurationen zu prüfen, bevor sie eine API-Funktionalität in die Produktion bringen.

Darüber hinaus hat die zunehmende Komplexität der IT-Infrastrukturen auch zu einem Mangel an Transparenz in der gesamten API-Umgebung geführt. Daher kommt es häufig vor, dass API-Funktionen, Endpunkte und Abhängigkeiten vergessen werden.

API-Sicherheit ist ein fortlaufender Prozess. Überwachen, bewerten und verbessern Sie Sicherheitsmaßnahmen kontinuierlich auf der Grundlage der sich entwickelnden Bedrohungslandschaft, der Best Practices der Branche und der Erkenntnisse aus Sicherheitsvorfällen. Aktualisieren Sie Ihre Sicherheitsrichtlinien und Dokumentation regelmäßig, um Änderungen oder neue Erkenntnisse zu berücksichtigen.

Mit dieser Methode können Sie Schwachstellen identifizieren und beheben, Konfigurationen validieren und Best Practices in Ihrer gesamten API-Infrastruktur durchsetzen. Dieser proaktive Ansatz trägt dazu bei, das Risiko potenzieller Sicherheitsverletzungen, unbefugten Zugriffs und Datenlecks zu minimieren.

Darüber hinaus stellt es sicher, dass Sicherheitskontrollen ordnungsgemäß konfiguriert und aufrechterhalten werden, wodurch die Wahrscheinlichkeit von Fehlkonfigurationen verringert wird, die vertrauliche Informationen preisgeben oder die Integrität des API-Ökosystems gefährden könnten.

Sie müssen die Konfigurationen im gesamten API-Stack (API-Endpunkte, Netzwerke, Client-Apps, Cloud-Speicher, Netzwerk usw.) regelmäßig überprüfen und aktualisieren. Sie sollten nach Standardkonfigurationen, unnötigen Funktionen usw. suchen und sofort Maßnahmen ergreifen, um diese zu beheben.

Dazu sollte das regelmäßige Scannen und Testen von APIs und der gesamten IT-Infrastruktur auf Lücken und Schwachstellen gehören. Sie sollten intelligente Tools nutzen und diese durch regelmäßige manuelle Pentests durch vertrauenswürdige Experten ergänzen. Dies wird dazu beitragen, Schwächen, Fehler und Lücken zu erkennen.

Das nächste Ziel besteht darin, Sicherheitslücken zeitnah nach ihrer Entdeckung zu schließen. Allerdings führen überlastete Entwicklerlisten, wechselnde Prioritäten und ständige Aktualisierungen des Anwendungscodes häufig zu einer durchschnittlichen Verzögerung von 200 Tagen bei der Behebung von Schwachstellen.

Virtuelles Patchen bietet eine überzeugende Alternative. Durch die Implementierung virtueller Patches können Sie Sicherheitsmaßnahmen effektiv verbessern und die Lücke zwischen der Erkennung und Behebung von Schwachstellen schließen.

Andere Maßnahmen

Abschluss

Sicherheitsfehlkonfigurationen sind gefährliche API-Schwachstellen, die es Angreifern ermöglichen, Sicherheitsmechanismen zu umgehen und Unternehmen gleichzeitig ein falsches Sicherheitsgefühl zu vermitteln. Unternehmen müssen diese Fehlkonfigurationen proaktiv erkennen und korrigieren, um eine robuste API-Sicherheit zu gewährleisten.

Nutzen Sie API-fokussierte Sicherheitslösungen wieAppTrana WAAPum Ihre APIs vor Sicherheitsfehlkonfigurationen und anderen Sicherheitsrisiken zu schützen.

Bleiben Sie dran für weitere relevante und interessante Sicherheitsupdates. Folgen Sie Indusface auf Facebook, Twitter und LinkedIn

Der Beitrag API7:2019 Sicherheitsfehlkonfiguration: Was, Beispiel-Exploits und Präventionsmethoden erschien zuerst auf Indusface.

*** Dies ist ein syndizierter Blog des Security Bloggers Network von Indusface, verfasst von Indusface. Lesen Sie den Originalbeitrag unter: https://www.indusface.com/blog/owasp-api-2019-security-misconfiguration/