Rapport: NÀstan tvÄ tredjedelar av organisationerna saknar grundlÀggande API-sÀkerhet


NÀstan tvÄ tredjedelar av organisationerna saknar Ätminstone en grundlÀggande API-sÀkerhetsstrategi, enligt den senaste rapporten frÄn Salt Security. Denna lucka i skydd Àr sÀrskilt oroande eftersom cyberattacker som riktar sig till API:er ökar samtidigt som relativt nya tekniker som GraphQL tas i bruk. GraphQL:s anvÀndning har fördubblats frÄn 2020 till 2021 och fortsÀtter att accelerera. SÀkerhetsmedvetenheten kring GraphQL Àr dock fortfarande relativt lÄg. Flera aspekter av GraphQL API-struktur kan skapa sÀkerhetsrisker som kan vara svÄra att bedöma.

Salt Labs, forskningsavdelningen för Salt Security, identifierade en ny GraphQL API-auktoriseringssÄrbarhet som kan uppstÄ i kapslade API-frÄgor. Salt Labs identifierade denna sÄrbarhet inom en stor finansiell teknologiplattform (fintech), som erbjuder finansiella tjÀnster i form av API-baserade mobilappar och SaaS till smÄ och medelstora företag sÄvÀl som kommersiella varumÀrken. Forskare kunde sÀtta igÄng attacker dÀr vilken anvÀndare som helst kunde skicka in otillÄtna transaktioner mot andra kunder eller samla in kÀnslig kunddata.

Denna upptÀckta sÄrbarhet gör det möjligt för potentiella angripare att manipulera API-anrop för att exfiltrera data och initiera obehöriga transaktioner. Dessutom fann forskare att vissa API-anrop kunde komma Ät en API-slutpunkt som inte krÀvde nÄgon autentisering, vilket ytterligare gjorde det möjligt för angripare att ange vilken transaktionsidentifierare som helst och dra tillbaka dataposter för tidigare finansiella transaktioner.

GraphQL:s sÄrbarheter Àr sÀrskilt problematiska, eftersom antalet utvecklare som anvÀnder GraphQL accelererar. GraphQL API:er Àr till sin natur svÄra att sÀkra pÄ grund av deras unika flexibilitet och struktur, vilket Àr anledningen till att Salt Security investerar i denna forskning och tillhandahÄller möjligheter att tillgodose API-sÀkerhetsbehov i detta utrymme.

Organisationen anvÀnde GraphQL i sin teknikstack för att driva kontoaktiviteterna för kunder som anvÀnder mobilappar. Organisationen anvÀnde ocksÄ ett tredjeparts-API för att hÀmta register över tidigare kundkontotransaktioner. Implementeringen misslyckades med att korrekt autentisera och auktorisera kunder. Som ett resultat kunde Salt Labs forskare skicka in otillÄtna transaktioner mot andra kunder hos leverantören av finansiella tjÀnster, korrelera anvÀndarkontoaktivitet och hÀmta PII om kunder.

Det Àr viktigt att upprÀtthÄlla anonymiteten för denna tjÀnsteleverantör, sÄ tekniska detaljer som kan identifiera organisationen har sanerats. Efter att ha identifierat sÄrbarheten, levererade Salt Labs sina resultat och gav organisationen rekommenderade ÄtgÀrder för att följa ansvarsfulla avslöjandepolicyer. Som en del av det bredare Salt Labs-uppdraget delar företaget med sig av resultaten för att öka medvetenheten kring API-sÄrbarheter, inklusive attackmönster, steg för att sprida attacken och lyfta fram begrÀnsningstekniker.

LÀs hela rapporten frÄn Salt Security.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.