BLOG

Abordando as dez principais vulnerabilidades da API do OWASP: Segurança de API precisa de gerenciamento de bots

Miniatura de Jim Downey
Jim Downey
Publicado em 29 de fevereiro de 2024

As equipes de segurança cibernética corporativa voltaram seu foco para a segurança de API , e com razão. Na economia digital, as APIs são a porta de entrada para os negócios, um ponto de entrada para dispositivos de IoT, aplicativos web e móveis e processos de parceiros de negócios. Infelizmente, as APIs também são a porta de entrada para criminosos, muitos dos quais dependem de bots para realizar ataques. Portanto, é fundamental que as equipes de segurança protejam as APIs e mitiguem os bots usados para atacá-las.

Analisar as dez principais vulnerabilidades de segurança de API do OWASP deixa clara a centralidade dos bots nos ataques às APIs. Três das dez principais vulnerabilidades de API estão relacionadas a bots de forma direta e óbvia.

  • Autenticação quebrada : Os bots quebram a autenticação por meio de ataques de força bruta, dicionário e preenchimento de credenciais , o que resulta em invasões de contas, fraudes, perdas financeiras e clientes irritados.
  • Consumo irrestrito de recursos : São os bots que aproveitam o consumo irrestrito de recursos, esgotando a memória e a capacidade de processamento das APIs. Quando os bots têm como alvo APIs projetadas para consumo por aplicativos interativos — ou seja, aplicativos da web e móveis usados por humanos — o impacto no desempenho pode ser catastrófico.
  • Acesso irrestrito a fluxos comerciais sensíveis : O acesso excessivo a determinados fluxos comerciais pode prejudicar o negócio. Revendedores não autorizados podem comprar o estoque de um item para revendê-lo por um preço mais alto. Os spammers podem explorar um fluxo de comentários/postagens. Os invasores podem usar um sistema de reserva para reservar todos os horários disponíveis. Em cada caso, são os bots que causam os danos. Lembra como os ingressos para o show da Taylor Swift esgotaram rápido, fazendo o aplicativo Ticketmaster travar e frustrando os fãs? Foram os bots que causaram esse alvoroço .

Os outros sete itens na lista dos dez principais da API da OWASP — vulnerabilidades como configuração de segurança incorreta, gerenciamento de inventário deficiente, autorização quebrada — não estão tão obviamente relacionados a bots, mas os invasores contam com bots para descobrir e explorar essas vulnerabilidades de forma eficaz e rápida. Em seu livro Hacking APIs , Corey J. Ball explica o uso de diversas ferramentas automatizadas para descoberta de API (OWASP ZAP, Gobuster, Kiterunner) e fuzzing (Postman, Wfuzz e Burp Suite). Usando essas ferramentas, os invasores enviam milhares de solicitações às APIs para descobrir vulnerabilidades. Para ganhar visibilidade sobre essa espionagem e reduzir suas chances de sucesso, é necessário um sistema eficaz para mitigar bots.

Os bots não afetam todas as APIs da mesma maneira. As APIs que são de máquina para máquina e acessadas por processos automatizados (geralmente processos internos ou de parceiros) são normalmente protegidas por TLS mútuo , caso em que o risco de autenticação quebrada é baixo e a limitação de taxa pode ser aplicada por cliente autenticado. Em vez disso, são as APIs que esperam tráfego apenas de aplicativos interativos — ou seja, aplicativos da web e móveis nas mãos de humanos — que são mais vulneráveis aos bots.

Para APIs que esperam tráfego iniciado por humanos, a defesa contra bots se tornou cada vez mais difícil. Bibliotecas de código aberto facilitam a tarefa de evitar a detecção por meio de impressão digital de cabeçalho, e serviços amplamente disponíveis estão disponíveis para operadores de bots para derrotar CAPTCHAs e solicitações de proxy por meio de redes que contêm dezenas de milhões de endereços IP residenciais. Com as antigas técnicas de análise de cabeçalhos, listas de negação de IP e CAPTCHA não mais eficazes , as equipes de segurança de aplicativos que buscam mitigar bots devem contar com uma rica coleta de sinais do lado do cliente, utilizando JavaScript e SDKs móveis, e aprendizado de máquina sofisticado para distinguir ferramentas de ataque e comportamentos de bots.

Quais APIs da sua organização são vulneráveis a bots, qual é a probabilidade e o custo do impacto e como você pode projetar controles de segurança para garantir as proteções necessárias contra bots? Essas são boas perguntas a serem abordadas na modelagem de ameaças. Para saber mais sobre o impacto comercial dos bots, consulte nosso whitepaper F5 sobre o assunto ou inscreva-se para uma consulta gratuita .