API6:2019 Mass Assignment
Παράγοντες Απειλής (Threat agents) / Φορείς Επίθεσης (Attack vectors) | Αδυναμία Ασφαλείας (Security Weakness) | Επιπτώσεις (Impacts) |
---|---|---|
Εξαρτώνται από το API : Εκμεταλλευσιμότητα 2 | Επικράτηση (Prevalence) 2 : Ανιχνευσιμότητα 2 | Τεχνικές Επιπτώσεις 2 : Εξαρτώνται από την Επιχείρηση |
Η εκμετάλλευση (exploitation) αυτής της αδυναμίας ασφαλείας συνήθως απαιτεί κατανόηση της επιχειρησιακής λογικής (business logic), των σχέσεων των αντικειμένων και της δομής του API. Η εκμετάλλευση της μαζικής εκχώρησης (Mass Assignment) είναι ευκολότερη στα APIs, καθώς από το σχεδιασμό τους εκθέτουν την υλοποίηση της εφαρμογής μαζί με τα ονόματα των ιδιοτήτων (properties). | Τα σύγχρονα frameworks ενθαρρύνουν τους προγραμματιστές να χρησιμοποιούν συναρτήσεις (functions) που συνδέουν αυτόματα την είσοδο από τον χρήστη ή την εφαρμογή-πελάτη (client) σε μεταβλητές κώδικα και εσωτερικά αντικείμενα. Οι εισβολείς μπορούν να χρησιμοποιήσουν αυτήν τη μεθοδολογία για να ενημερώσουν ή να αντικαταστήσουν τις τιμές ευαίσθητων ιδιοτήτων αντικειμένων (object properties), τις οποίες οι προγραμματιστές δεν σκόπευαν ποτέ να εκθέσουν στους χρήστες. | Η εκμετάλλευση (exploitation) μπορεί να οδηγήσει σε κλιμάκωση των προνομίων (privilege escalation), παραποίηση δεδομένων (data tampering), παράκαμψη μηχανισμών ασφαλείας και πολλά άλλα. |
Πότε το API είναι ευάλωτο
Τα αντικείμενα (objects) στις σύγχρονες εφαρμογές μπορεί να περιέχουν πολλές ιδιότητες (properties).
Ορισμένες από αυτές τις ιδιότητες θα πρέπει να μπορούν να ενημερώνονται απευθείας από την εφαρμογή-πελάτη (client) (π.χ. user.first_name
ή user.address
) και ορισμένες από αυτές δεν θα πρέπει να είναι προσβάσιμες στους χρήστες / εφαρμογές-πελάτες (π.χ. user.is_vip
).
Ένα τελικό σημείο προορισμού API είναι ευάλωτο εάν μετατρέπει αυτόματα τις παραμέτρους της εφαρμογής-πελάτη σε ιδιότητες εσωτερικού αντικειμένου, χωρίς να λαμβάνεται υπόψη η ευαισθησία και το επίπεδο έκθεσης αυτών των ιδιοτήτων. Αυτό θα μπορούσε να επιτρέψει σε έναν εισβολέα να ενημερώσει τις ιδιότητες αντικειμένων (object properties), στις οποίες δεν θα έπρεπε να έχει πρόσβαση.
Παραδείγματα ευαίσθητων ιδιοτήτων (properties):
- Ιδιότητες που σχετίζονται με δικαιώματα: Τα
user.is_admin
,user.is_vip
θα πρέπει να ορίζονται μόνο από διαχειριστές. - Ιδιότητες που εξαρτώνται από κάποια διαδικασία (process): Το
user.cash
θα πρέπει να ορίζεται εσωτερικά μόνο μετά την επαλήθευση πληρωμής. - Εσωτερικές ιδιότητες: Η ιδιότητα
article.created_time
θα πρέπει να επιτρέπεται να ορίζεται μόνο εσωτερικά από την εφαρμογή.
Παραδείγματα Σεναρίων Επίθεσης
Σενάριο Επίθεσης #1
Μια εφαρμογή διαμοιρασμού διαδρομής (ride sharing) παρέχει στον χρήστη την επιλογή να επεξεργαστεί βασικές πληροφορίες για το προφίλ του.
Κατά τη διάρκεια αυτής της διαδικασίας, αποστέλλεται μια κλήση API στο
PUT /api/v1/users/me
με το ακόλουθο έγκυρο αντικείμενο JSON:
{"user_name":"inons","age":24}
Το αίτημα GET /api/v1/users/me
περιλαμβάνει μια πρόσθετη ιδιότητα credit_balance:
{"user_name":"inons","age":24,"credit_balance":10}
Ο εισβολέας επαναλαμβάνει το πρώτο αίτημα με το ακόλουθο payload:
{"user_name":"attacker","age":60,"credit_balance":99999}
Δεδομένου ότι το τελικό σημείο προορισμού είναι ευάλωτο σε μαζική εκχώρηση (Mass Assignment), ο εισβολέας λαμβάνει πιστώσεις (credits) χωρίς να πληρώσει.
Σενάριο Επίθεσης #2
Ένα portal διαμοιρασμού βίντεο (video sharing portal) επιτρέπει στους χρήστες να ανεβάζουν περιεχόμενο και να κατεβάζουν περιεχόμενο σε διαφορετικές μορφές (formats). Ένας εισβολέας που εξερευνά το API διαπίστωσε ότι το τελικό σημείο προορισμού GET /api/v1/videos/{video_id}/meta_data
επιστρέφει ένα αντικείμενο JSON με τις ιδιότητες του βίντεο. Μία από τις ιδιότητες είναι "mp4_conversion_params":"-v codec h264"
, που υποδεικνύει ότι η εφαρμογή χρησιμοποιεί μια εντολή shell για τη μετατροπή του βίντεο.
Ο εισβολέας διαπίστωσε επίσης ότι το τελικό σημείο προορισμού POST /api/v1/videos/new
είναι ευάλωτο σε μαζική εκχώρηση (Mass Assignment) και επιτρέπει στην εφαρμογή-πελάτη (client) να ορίσει οποιαδήποτε ιδιότητα του αντικειμένου βίντεο.
Ο εισβολέας ορίζει μια κακόβουλη τιμή ως εξής:
"mp4_conversion_params":"-v codec h264 && format C:/"
. Αυτή η τιμή θα προκαλέσει μια έγχυση εντολής shell (shell command injection) μόλις ο εισβολέας κατεβάσει το βίντεο ως MP4.
Τρόπος Πρόληψης
- Εάν είναι δυνατόν, αποφύγετε τη χρήση συναρτήσεων που μετατρέπουν αυτόματα την είσοδο μιας εφαρμογής-πελάτη σε μεταβλητές κώδικα ή σε εσωτερικά αντικείμενα.
- Δημιουργήστε μια λίστα επιτρεπόμενων (whitelist) ιδιοτήτων που να περιλαμβάνει μόνο τις ιδιότητες που επιτρέπεται να ενημερώνονται από τους χρήστες / εφαρμογές-πελάτες (API clients).
- Χρησιμοποιήστε ενσωματωμένες δυνατότητες του framework σας για να δημιουργήσετε μια λίστα μη-επιτρεπόμενων ιδιοτήτων στις οποίες δεν πρέπει να έχουν πρόσβαση οι εφαρμογές-πελάτες (API clients).
- Εάν είναι εφικτό, ορίστε και επιβάλλετε ρητά σχήματα (schemas) για τα payloads δεδομένων εισόδου.