BLOG

Behebung der zehn häufigsten API-Schwachstellen von OWASP: API-Sicherheit erfordert Bot-Management

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 29. Februar 2024

Die Cybersicherheitsteams von Unternehmen haben ihren Fokus auf die API-Sicherheit gerichtet, und das zu Recht. In der digitalen Wirtschaft sind APIs die Eingangstür zum Geschäft, ein Einstiegspunkt für IoT-Geräte, Web- und mobile Apps sowie Prozesse von Geschäftspartnern. Leider sind APIs auch eine Eintrittstür für Kriminelle, die ihre Angriffe häufig auf Bots zurückgreifen. Daher ist es für Sicherheitsteams von entscheidender Bedeutung, APIs zu schützen und die Bots, die für Angriffe auf sie verwendet werden, zu entschärfen .

Ein Blick auf die zehn größten API-Sicherheitslücken laut OWASP macht deutlich, wie wichtig Bots bei Angriffen auf APIs sind. Drei der zehn größten API-Schwachstellen stehen in direktem und offensichtlichem Zusammenhang mit Bots.

  • Fehlerhafte Authentifizierung : Bots brechen die Authentifizierung durch Brute-Force-, Wörterbuch- und Credential-Stuffing -Angriffe, was zur Übernahme von Konten, Betrug, finanziellen Verlusten und verärgerten Kunden führt.
  • Unbegrenzter Ressourcenverbrauch : Es sind Bots, die den uneingeschränkten Ressourcenverbrauch ausnutzen und so den Speicher und die Verarbeitungskapazität der APIs erschöpfen. Wenn Bots auf APIs abzielen, die für die Nutzung durch interaktive Anwendungen konzipiert sind – also von Menschen verwendete Web- und Mobilanwendungen –, kann die Auswirkung auf die Leistung katastrophal sein.
  • Uneingeschränkter Zugriff auf sensible Geschäftsabläufe : Ein übermäßiger Zugriff auf bestimmte Geschäftsabläufe kann dem Geschäft schaden. Nicht autorisierte Wiederverkäufer können den Lagerbestand eines Artikels aufkaufen, um ihn zu einem höheren Preis weiterzuverkaufen. Spammer können einen Kommentar-/Post-Fluss ausnutzen. Über ein Reservierungssystem können Angreifer alle verfügbaren Zeitfenster reservieren. In jedem Fall sind es Bots, die den Schaden verursachen. Erinnern Sie sich, wie schnell die Konzertkarten für Taylor Swift ausverkauft waren, was zum Absturz der Ticketmaster-App führte und die Fans frustrierte? Es waren Bots, die diesen Aufruhr verursachten .

Die anderen sieben Punkte auf der Top-Ten-Liste der OWASP-API – Schwachstellen wie Sicherheitsfehlkonfigurationen, mangelhafte Bestandsverwaltung und fehlerhafte Autorisierung – stehen nicht so offensichtlich im Zusammenhang mit Bots. Dennoch verlassen sich Angreifer auf Bots, um diese Schwachstellen effektiv zu entdecken und schnell auszunutzen. In seinem Buch „Hacking APIs “ erklärt Corey J. Ball die Verwendung mehrerer automatisierter Tools zur API-Erkennung (OWASP ZAP, Gobuster, Kiterunner) und zum Fuzzing (Postman, Wfuzz und Burp Suite). Mithilfe dieser Tools senden Angreifer Tausende von Anfragen an APIs, um Schwachstellen aufzuspüren. Um Einblick in diese Schnüffelei zu gewinnen und ihre Erfolgschancen zu verringern, bedarf es eines effektiven Systems zur Abwehr von Bots.

Bots wirken sich nicht auf alle APIs auf die gleiche Weise aus. Die APIs, die zwischen Maschinen genutzt werden und auf die automatisierte Prozesse (normalerweise interne Prozesse oder Prozesse von Partnern) zugreifen, sind typischerweise durch gegenseitiges TLS geschützt. In diesem Fall ist das Risiko einer fehlerhaften Authentifizierung gering und eine Ratenbegrenzung kann pro authentifiziertem Client erzwungen werden. Vielmehr sind es die APIs, die ausschließlich Datenverkehr von interaktiven Apps erwarten – also von Web- und mobilen Apps in menschlichen Händen –, die am anfälligsten für Bots sind.

Für APIs, die von Menschen initiierten Datenverkehr erwarten, ist die Abwehr von Bots zunehmend schwieriger geworden. Dank Open-Source -Bibliotheken lässt sich die Erkennung durch Header-Fingerprinting ganz einfach vermeiden. Zudem stehen Bot-Betreibern weithin verfügbare Dienste zur Verfügung, um CAPTCHAs und Proxy- Anfragen in Netzwerken mit zig Millionen privaten IP-Adressen zu umgehen . Da die alten Techniken der Header-Analyse, IP-Verweigerungslisten und CAPTCHA nicht mehr wirksam sind , müssen sich Anwendungssicherheitsteams, die Bots abwehren möchten, auf eine umfassende Signalerfassung auf der Clientseite verlassen und JavaScript und mobile SDKs sowie ausgefeiltes maschinelles Lernen nutzen, um zwischen Angriffstools und Bot-Verhalten zu unterscheiden.

Welche APIs Ihres Unternehmens sind anfällig für Bots, wie wahrscheinlich sind Auswirkungen und welche Kosten entstehen ihnen und wie können Sie Sicherheitskontrollen entwickeln, um den notwendigen Schutz vor Bots zu gewährleisten? Dies sind gute Fragen, die bei der Bedrohungsmodellierung behandelt werden sollten. Weitere Informationen zu den geschäftlichen Auswirkungen von Bots finden Sie in unserem F5- Whitepaper zu diesem Thema oder melden Sie sich für eine kostenlose Beratung an.