BLOG

A segurança da API precisa de gerenciamento de bots: Abordando as Dez Principais Vulnerabilidades da API do OWASP

Miniatura de Jim Downey
Jim Downey
Publicado em 16 de maio de 2025

As equipes de segurança cibernética corporativa voltaram seu foco para a segurança de API , e com razão. Na economia digital, as APIs são a porta de entrada para os negócios, um ponto de entrada para dispositivos de IoT, aplicativos da web e móveis e, cada vez mais, para aplicativos baseados em IA que estão transformando a maneira como fazemos negócios. Infelizmente, as APIs também são a porta de entrada para criminosos, muitos dos quais dependem de bots para realizar ataques. Portanto, é fundamental que as equipes de segurança protejam as APIs e mitiguem os bots usados para atacá-las.

A lista das dez principais vulnerabilidades de segurança de API da OWASP identifica claramente o papel central que os bots desempenham em ataques a APIs. Três das dez principais vulnerabilidades de API estão diretamente relacionadas a bots:

  • Autenticação quebrada : Os bots quebram a autenticação por meio de ataques de força bruta, dicionário e preenchimento de credenciais , que resultam em invasões de contas, fraudes, perdas financeiras e clientes irritados.
  • Consumo irrestrito de recursos : Os bots aproveitam o consumo irrestrito de recursos, esgotando a memória e a capacidade de processamento das APIs. Quando os bots têm como alvo APIs projetadas para consumo por aplicativos interativos (aplicativos web e móveis usados por humanos), o impacto no desempenho e nos custos pode ser catastrófico.
  • Acesso irrestrito a fluxos comerciais sensíveis : O acesso excessivo a certos fluxos comerciais pode prejudicar os negócios. Revendedores não autorizados podem esgotar o estoque do produto e revendê-lo a um preço significativamente mais alto. Os spammers podem explorar um fluxo de comentários/postagens. Os invasores podem usar um sistema de reservas para reservar todos os horários disponíveis. Nesses casos, bots são implantados para explorar esses fluxos de negócios.

Em seu livro Hacking APIs: Em Breaking Web Application Programming Interfaces, o renomado especialista em segurança cibernética e API Corey J. Ball explica como ferramentas automatizadas para descoberta de API (OWASP ZAP, Gobuster, Kiterunner) e fuzzing (Postman, Wfuzz e Burp Suite) podem ser usadas por invasores para enviar milhares de solicitações a APIs para descobrir vulnerabilidades. É necessário um gerenciamento de bots para identificar a espionagem e reduzir sua eficácia.

Os bots não afetam todas as APIs da mesma maneira. As APIs geralmente são protegidas por TLS mútuo , portanto o risco de autenticação quebrada é baixo e a limitação de taxa pode ser aplicada por cliente autenticado. APIs que esperam tráfego apenas de aplicativos móveis e da web interativos são mais vulneráveis a bots.

A defesa contra bots se tornou cada vez mais difícil para APIs que esperam tráfego iniciado por humanos. Bibliotecas de código aberto facilitam evitar a detecção por meio de impressão digital de cabeçalho, e serviços para derrotar CAPTCHAs e solicitações de proxy por meio de redes contendo dezenas de milhões de endereços IP residenciais estão amplamente disponíveis para operadores de bots. Técnicas antigas de análise de cabeçalhos, listas de negação de IP e CAPTCHA não são mais eficazes , o que significa que as equipes de segurança de aplicativos que buscam mitigar bots devem contar com uma rica coleta de sinais do lado do cliente, utilizando JavaScript e SDKs móveis, além de aprendizado de máquina sofisticado para distinguir ferramentas de ataque e comportamentos de bots.

À medida que os aplicativos de IA se tornam mais amplamente implantados, proteger as APIs e esses endpoints contra ataques automatizados será essencial. Em resposta, a OWASP lançou seu Top 10 de Riscos e Mitigações de 2025 para LLMs e Aplicativos de IA de Geração . Veja minha postagem recente, Como bots atacam grandes modelos de linguagem , para saber mais.

Quais APIs da sua organização são vulneráveis a bots? Qual é a probabilidade de ataque e o custo do impacto? Como você pode projetar controles de segurança para garantir as proteções necessárias contra bots? Essas são boas perguntas a serem abordadas na modelagem de ameaças. Para saber mais sobre o impacto comercial dos bots, leia o whitepaper da F5 sobre o assunto ou inscreva-se para uma consulta gratuita.