Blog

Jul 07, 2023

API7 : 2019 Erreur de configuration de la sécurité : quoi, exemples d'exploits et méthodes de prévention

Accueil » Calendrier éditorial » Sécurité de l'API » API7 : 2019 Erreur de configuration de la sécurité :

Accueil » Calendrier éditorial » Sécurité des API » API7 : 2019 Erreur de configuration de la sécurité : quoi, exemples d'exploits et méthodes de prévention

Les erreurs de configuration de sécurité sont des risques de sécurité très courants, non seulement dans les applications Web, mais également dans les API. Ils ont toujours fait partie du Top 10 des vulnérabilités des applications Web de l'OWASP. Ils faisaient partie du Top 10 des risques de sécurité des API de l'OWASP publié en 2019 et figurent désormais dans la liste mise à jour de 2023.

La mauvaise configuration de la sécurité conserve sa 7e place enOWASP Top 10 API 2023RCen raison de sa prévalence généralisée, de sa facilité d'exploitation et de sa facilité de détection.

Que sont exactement les erreurs de configuration de sécurité ? Qu'est-ce qui les cause et comment les atténuer ? Continuez à lire pour le savoir.

Les erreurs de configuration de sécurité sont les erreurs et les oublis commis lors de la configuration, de la mise en œuvre ou de la maintenance d'une API qui peuvent entraîner des vulnérabilités de sécurité. Cela se produit lorsque les développeurs/équipes informatiques n'ont pas suivi les meilleures pratiques de sécurité lors de la mise en œuvre et de la configuration des API.

Des erreurs de configuration de sécurité peuvent survenir en raison de l'incapacité des développeurs et des équipes de sécurité informatique à renforcer la surface d'attaque avec des configurations appropriées de manière adéquate.

Cela signifie simplement que les paramètres de sécurité essentiels de l'API n'ont pas été mis en œuvre ou de manière incorrecte, laissant des lacunes et des faiblesses dangereuses dans l'API. Les pirates peuvent exploiter ces failles pour orchestrer des attaques massives et des violations de données.

Ces erreurs de configuration peuvent se produire à différents niveaux de la pile API, y compris le serveur API, la passerelle API, l'application cliente, l'infrastructure prenant en charge l'API, le niveau réseau, le niveau système, le niveau application, etc. Presque aucune différence n'existe dans la façon dont ces erreurs de configuration affectent les applications Web et les API.

// API non sécurisée Endpointapp.get('/api/user/:id', (req, res) => {const userId = req.params.id;// Récupérer les données utilisateur de la base de données sans authentification ni autorisationUser.findById( userId, (err, user) => {if (err) {return res.status(500).json({ error: 'Internal Server Error' });}if (!user) {return res.status(404) .json({ error: 'User not found' });}// Renvoie les données de l'utilisateur.json(user);});});Dans cet exemple, le point de terminaison de l'API /api/user/:id est conçu pour récupérer les données de l'utilisateur en fonction de l'identifiant fourni. Cependant, aucun contrôle d'authentification ou d'autorisation n'est en place.

Le code extrait directement l'utilisateur de la base de données sans vérifier l'identité de l'utilisateur ni s'assurer qu'il dispose des autorisations nécessaires.

Un attaquant exploitant cette mauvaise configuration pourrait simplement envoyer une requête GET à /api/user/:id avec n'importe quel paramètre id et récupérer les données de l'utilisateur sans authentification ni autorisation appropriée. Cela expose des informations utilisateur sensibles à des personnes non autorisées.

La mauvaise configuration du système est une vulnérabilité qui peut être exploitée, que ce soit dans les API, les applications Web, les réseaux, les conteneurs ou les plates-formes de développement. Si vous laissez des API configurées de manière incorrecte, inadéquate ou non sécurisée, vous laisserez l'API ouverte à un large éventail de risques de sécurité.

Les vulnérabilités de mauvaise configuration de la sécurité sont de toutes formes et de toutes tailles, avec différents niveaux de risque. Voici quelques exemples de ce qui pourrait conduire à ces erreurs de configuration.

Consultez la liste complète des erreurs de configuration d'API de notreListe de contrôle des tests d'intrusion de l'API.

Voici cinq exemples de scénarios d'attaque de mauvaise configuration d'API et leurs implications potentielles :

La faille Capital One de 2019 est un exemple concret d'exploitation de mauvaises configurations de sécurité par des attaquants. Dans le cas de Capital One, les attaquants ont découvert qu'un WAF open source était utilisé pour sécuriser les applications et les API de l'entreprise. Ce WAF n'était pas correctement configuré et adapté aux besoins et au contexte de l'environnement AWS de l'entreprise. En conséquence, il n'a pas suivi les principes de confiance zéro et de moindre privilège.

Étant trop permissifs, les attaquants pourraient facilement contourner le WAF. Les attaquants ont conçu un script d'injection pour cibler le service de métadonnées cloud principal d'AWS. Le WAF n'a pas pu inspecter le contenu du message ni le filtrer et a autorisé le traitement de la demande d'injection par le backend. Désormais, l'attaquant pourrait récolter des métadonnées auxquelles il n'aurait pas dû accéder.

En utilisant ces métadonnées, ils pourraient compromettre d'autres systèmes au sein de l'environnement informatique via une attaque de falsification de requête côté serveur (SSRF). Voici de plus prèsLes piratages d'API et les instances historiques qui relèvent du Top 10 de l'OWASP.

L'un des principaux impacts des mauvaises configurations de sécurité est qu'elles exposent des informations sensibles et des détails système. L'exposition aux détails et aux configurations du système peut entraîner une compromission complète du serveur qui peut être dévastatrice pour l'organisation.

La mauvaise configuration de la sécurité est unTop 10 des API OWASPvulnérabilité également parce qu'elle permet aux attaquants d'orchestrer un large éventail d'attaques telles que des attaques à distance, des attaques par traversée de répertoires, des attaques SSRF, des attaques d'authentification et d'autorisation, des attaques basées sur le cloud, etc.

L'autre raison pour laquelle les erreurs de configuration de la sécurité sont une vulnérabilité du Top 10 de l'API OWASP est que des API mal configurées créent un faux sentiment de sécurité pour les développeurs et l'organisation. Ainsi, les développeurs pensent qu'ils sont à l'abri des menaces puisque les configurations sont en place.

Cependant, comme nous l'avons vu, des configurations incorrectes et inadéquates sont pires que l'absence de configuration en place. Ils permettent aux attaquants de faire facilement leurs enchères.

Les erreurs de configuration de sécurité ont un score de prévalence de 3 et unscore d'exploitabilité de 3. Cela signifie qu'il s'agit de vulnérabilités d'API très courantes qui sont également facilement exploitables. Grâce à la disponibilité d'outils automatisés, les attaquants peuvent facilement trouver ces erreurs de configuration et les exploiter.

L'une des principales raisons de la prévalence élevée de ces vulnérabilités est la rapidité des cycles de développement actuels. Compte tenu des délais impossibles, les développeurs n'ont pas assez de temps pour tester et vérifier de manière adéquate les erreurs de configuration de sécurité avant de pousser une fonctionnalité d'API en production.

De plus, la complexité croissante des infrastructures informatiques a également créé un manque de visibilité sur l'ensemble de l'environnement API. Il est donc courant que les fonctionnalités, les points de terminaison et les dépendances de l'API soient oubliés.

La sécurité des API est un processus continu. Surveillez, évaluez et améliorez en permanence les mesures de sécurité en fonction de l'évolution du paysage des menaces, des meilleures pratiques du secteur et des leçons tirées des incidents de sécurité. Mettez régulièrement à jour vos consignes de sécurité et votre documentation pour refléter les modifications ou les nouvelles informations.

Cette méthode vous permet d'identifier et de résoudre les vulnérabilités, de valider les configurations et d'appliquer les meilleures pratiques à l'ensemble de votre infrastructure d'API. Cette approche proactive aide à minimiser le risque de failles de sécurité potentielles, d'accès non autorisés et de fuites de données.

De plus, il garantit que les contrôles de sécurité sont correctement configurés et maintenus, réduisant ainsi la probabilité de mauvaises configurations qui pourraient exposer des informations sensibles ou compromettre l'intégrité de l'écosystème d'API.

Vous devez régulièrement examiner et mettre à jour les configurations de la pile d'API (points de terminaison d'API, réseaux, applications clientes, stockage dans le cloud, réseau, etc.). Vous devez rechercher les configurations par défaut, les fonctionnalités inutiles, etc., et prendre des mesures instantanées pour les corriger.

Cela devrait inclure une analyse et des tests réguliers des API et de l'ensemble de l'infrastructure informatique pour détecter les lacunes et les vulnérabilités. Vous devez tirer parti d'outils intelligents et les compléter par des tests de stylet manuels réguliers effectués par des experts de confiance. Cela aidera à détecter les faiblesses, les défauts et les lacunes.

Fermer les failles de sécurité rapidement après leur découverte est le prochain objectif. Cependant, les développeurs de listes chargées, les priorités changeantes et les mises à jour constantes du code d'application contribuent fréquemment à un retard moyen de 200 jours dans la correction des vulnérabilités.

Le patching virtuel offre une alternative convaincante. En mettant en œuvre des correctifs virtuels, vous pouvez efficacement améliorer les mesures de sécurité et combler le fossé entre la découverte de vulnérabilités et la correction.

Autres mesures

Conclusion

Les mauvaises configurations de sécurité sont des vulnérabilités d'API dangereuses, permettant aux attaquants de contourner les mécanismes de sécurité tout en donnant aux organisations un faux sentiment de sécurité. Les organisations doivent identifier et corriger de manière proactive ces erreurs de configuration pour garantir une sécurité API robuste.

Tirez parti des solutions de sécurité axées sur l'API telles queAppTrana WAAPpour protéger vos API contre les erreurs de configuration de sécurité et autres risques de sécurité.

Restez à l'écoute pour des mises à jour de sécurité plus pertinentes et intéressantes. Suivez Indusface sur Facebook, Twitter et LinkedIn

Le post API7:2019 Security Misconfiguration: The What, Sample Exploits, and Prevention Methods est apparu en premier sur Indusface.

*** Il s'agit d'un blog syndiqué du Security Bloggers Network d'Indusface rédigé par Indusface. Lisez le message original sur : https://www.indusface.com/blog/owasp-api-2019-security-misconfiguration/