对于OWASP API TOP 10的一些理解
前言:
OWASP API 安全项目是第一次发布,在查找OWASP API TOP 10相关解读资料的时候,发现中文资料比较少,但是API在万物云化的今天越来越重要,因此考虑自己写点东西以加深自己的理解。
API全称为Application programming interface,意为应用程序编程接口。这个概念较为广泛,更像是一种资源交互方式。
OWASP API Security Top 10具体为:
API 1 Broken Object Level Authorization-----------失效的对象级别授权
API 2 Broken Authentication---------------------------失效的用户身份验证
API 3 Excessive Data Exposure------------------------过度的数据暴露
API 4 Lack of Resources & Rate Limiting-----------资源缺乏和速率限制
API 5 Broken Function Level Authorization----------失效的功能级授权
API 6 Mass Assignment-------------------------------- 批量分配
API 7 Security Misconfiguration-----------------------安全配置错误
API 8 Injection-----------------------------------------------注入
API 9 Improper Assets Management--------------------资产管理不当
API 10 Insufficient Logging & Monitoring-------------日志和监控不足
附中文版链接: http://www.owasp.org.cn/owasp-project/OWASPAPITop102019.pdf
通过对比表发现和OWASP Top 10还是具有一定差异的。我通过查询找到下面这个图。可以看到红色的是主要差异项,绿色的是排名不变的,黄色的是排名发生了变化的项目。通过这个排名可以知道,在api安全方面,侧重点是不一样的,XXE、反序列化、敏感信息泄露、XSS、使用具有已知漏洞的组件是API安全TOP 10里是没有的。没有的原因不是说API安全不存在这些问题,而且这些问题排名在10名开外,因此不在其中。
接下来,结合案例来看看API安全提及的一些问题。
1、失效的对象级别授权
这里直接上图,文中的对于API 1的定义类似于IDOR,也就是说API 安全中排名第一的问题是权限问题,提供的案例也是越权。如遍历用户ID方式,以用户角色为维度。因此,尝试去hackerone上找相关的公开报告。
https://hackerone.com/reports/763994
https://hackerone.com/reports/853130
https://hackerone.com/reports/975047
https://twitter.com/samwcyo/status/1350025970615529473?s=20
2、失效的用户身份认证
排名第二的是身份认证问题。这个问题基本上围绕认证方面,如弱口令、明文存储、弱加密、密码爆破、GET方式传输令牌和密码等,这里案例就比较多了。弱口令就不说了,完全是管理问题。明文存储国内案例有CSDN、网易,国外有 facebook,而GET方式传输令牌和密码,某运营商目前仍这样处理,由于查询余额、积分、账单等敏感操作都是用GET请求方式,后续大部分查询操作referer都可以看到令牌和sessionid,又由于令牌等几个值一直不变,过期时间较长,因此很容易泄露用户个人数据。而爆破的话,H1上案例也不少。
https://hackerone.com/reports/708013
https://hackerone.com/reports/970157
3、过度的数据暴露
这个问题比较容易理解,字面上的意思即是问题的所在。API在对查询进行响应的时候返回了过多的敏感信息。之前在测试一个微信公众号,就遇到过这样的问题,明明只查了待缴金额,结果把余额、账单等信息都返回过来了。
4、资源缺乏和速率限制
这个问题偏向于资源竞争。我在其他文章里找到更容易懂的解释-----API不会对客户端/用户可以请求的资源大小或数量施加任何限制。这不仅会影响API服务器的性能,从而导致拒绝服务(DoS),而且还为诸如暴力破解之类的身份验证漏洞敞开了大门。
https://hackerone.com/reports/764434
https://hackerone.com/reports/887321
5、失效的功能级授权
这个问题和API 1有点像,都是授权方面的问题。但是这个更偏向于在功能授权上的问题,像是垂直越权。比如,管理员面板,普通用户正常情况无法访问,但存在此类越权问题时即可访问管理员面板。
https://twitter.com/hunter0x7/status/1352572216119062528
6、批量分配
这个问题从字面上是最难理解的。但仔细看定义,还好理解。大致就是API存在用户可控的参数。
https://hackerone.com/reports/452959
https://hackerone.com/reports/813300
7、安全配置错误
这个范围会大一些,如明文传输、敏感信息泄露、存储桶未授权访问、错误配置CORS等问题。之前测几个小程序的时候,接口未授权访问出现的频率最高,有的接口可遍历所有用户信息。个别参数客户端可控,导致返回了明文敏感信息。因此在测试接口时,仔细看重要操作的数据包还是十分必要的。
https://hackerone.com/reports/1021906
https://hackerone.com/reports/1001951
8、注入
属于输入验证漏洞类别。如sql注入、HTML注入、命令注入、LDAP注入等漏洞类别。
https://hackerone.com/reports/816254
https://hackerone.com/reports/1034625
https://hackerone.com/reports/950180
9、资产管理不当
这个问题就是字面上的意思,很好理解。资产管理的问题。如暴露测试接口地址、未下线的旧接口。而此类接口的发现,我总结了三种方式,一是捕风捉影,通过检测所有流量包来查找;二是按图索骥,通过JS等信息收集方式发现去寻找并构造API;三是无中生有,通过猜解、遍历方式去获取接口。而在实践中,这三种方式都有成功的记录。
10、日志和监视不足
最后一个无需多说,是以资产拥有方的角度出发的。和日常安全测试关系不大。
参考链接:
http://r6d.cn/acMHU
https://owasp.org/www-project-api-security/
https://nordicapis.com/testing-owasps-top-10-api-security-vulnerabilities/
https://apisecurity.io/encyclopedia/content/owasp/owasp-api-security-top-10.htm
https://apisecurity.io/encyclopedia/content/owasp-api-security-top-10-cheat-sheet-a4.pdf
https://portswigger.net/daily-swig/owasp-reveals-top-10-security-threats-facing-api-ecosystem