API1:2019 مجوزدهی نادرست در سطح اشیاء
| عوامل تهدید / مسیر حمله | ضعف امنیتی | پیامد |
|---|---|---|
| API خاص: قابلیت بهرهبرداری3 | میزان شیوع3 : قابلیت تشخیص2 | پیامد فنی3 : خاص کسب و کار |
| مهاجمین میتوانند از نقاط و توابع آسیبپذیر (از منظر مجوزدهی نادرست در سطح اشیا) با دستکاری شناسه شیء ارسالی درون درخواست سوءاستفاده و بهره برداری نمایند. این امر میتواند منجر به دسترسی غیرمجاز به داده حساس شود. دسترسی غیرمجاز به داده حساس، مسالهای رایج در اپلیکیشنهای مبتنی بر API است چرا که مولفه سرور غالبا به طور کامل وضعیت کلاینت را رهگیری نمیکند و در عوض برای تصمیم گیری درباره دسترسی کلاینت به اشیاء از پارامترهایی نظیر شناسه شی که از سوی خود کلاینت ارسال میشوند، تکیه دارند. | مهاجمین میتوانند از نقاط و توابع آسیبپذیر (از منظر مجوزدهی نادرست در سطح اشیا) با دستکاری شناسه شیء ارسالی درون درخواست سوءاستفاده و بهره برداری نمایند. این امر میتواند منجر به دسترسی غیرمجاز به داده حساس شود. دسترسی غیرمجاز به داده حساس، مسالهای رایج در اپلیکیشنهای مبتنی بر API است چرا که مولفه سرور غالبا به طور کامل وضعیت کلاینت را رهگیری نمیکند و در عوض برای تصمیم گیری درباره دسترسی کلاینت به اشیاء از پارامترهایی نظیر شناسه شی که از سوی خود کلاینت ارسال میشوند، تکیه دارند. | دسترسی غیرمجاز میتواند منجر به افشای اطلاعات به طرفهای غیرمجاز، از دست رفتن داده یا دستکاری آن شود. همچنین دسترسی غیرمجاز به اشیا میتواند سبب تحت کنترل گرفتن کامل حساب کاربری توسط مهاجم گردد. |
آیا API از نظر مجوزدهی نادرست در سطح اشیاء آسیبپذیر است؟
مجوزدهی در سطح اشیا مکانیزمی برای کنترل دسترسی است که غالبا در سطح کد پیادهسازی شده و دسترسی کاربر به اشیایی که بایستی به آنها دسترسی داشته باشد را تضمین مینماید. هر تابعی در API که یک شناسه شی دریافت نموده و نوعی عملیات بر روی آن شی انجام میدهد، بایستی کنترلهای مجوزدهی در سطح اشیا را بکار گیرد. این کنترلها باید دسترسی کاربرِ واردشده به انجام عمل درخواستی بر روی شی درخواستی را اعتبارسنجی نمایند. وجود ایراد و نقصان در این مکانیزم منجر به افشای اطلاعات غیرمجاز، تغییر یا از بین رفتن تمامی داده خواهد شد.
مثالهایی از سناریوهای حمله
سناریو #1
یک پلتفرم تجارت الکترونیک، برای فروشگاههای آنلاین نمودارهای سود فروشگاههای میزبانی شده را در قالب یک لیست چندصفحهای ارائه میدهد. مهاجم با بررسی درخواستهای مرورگر، توابعی از API که نقش منبع داده برای نمودارهای مذبور را دارند و الگوی آنها به صورت /shops/{shopName}/revenue_data.json میباشد را شناسایی میکند. با استفاده از یک تابع دیگر API، مهاجم میتواند لیست نام کلیه فروشگاههای میزبانی شده را استخراج نماید. همچنین مهاجم با استفاده از یک اسکریپت ساده و جایگزین کردن {shopName} در URL خواهد توانست به دادهی فروش هزاران فروشگاه دسترسی یابد.
سناریو #2
با پایش ترافیک شبکهی یک گجت پوشیدنی درخواست HTTP PATCH زیر توجه مهاجم را به وجود سرآیند HTTP سفارشی X-User-Id: 54796 جلب مینماید. با جایگزین کردن مقدار X-User-Id با 54795، مهاجم پاسخ HTTP موفقیت آمیز گرفته و قادر به تغییر اطلاعات حساب سایر کاربران خواهد بود.
چگونه از آسیبپذیری مجوزدهی نادرست در سطح اشیاء پیشگیری کنیم؟
- بکارگیری یک مکانیزم مجوزدهی که بر خط مشی و سلسله مراتب کاربری تمرکز دارد.
- استفاده از یک مکانیزم مجوزدهی برای بررسی اینکه آیا کاربر واردشده مجوز لازم برای انجام عملیات درخواستی بر روی رکورد در تمامی توابعی که از کلاینت، ورودی میگیرند تا به رکورد مذبور در پایگاه داده دسترسی داشته باشند را دارا است یا خیر؟
- ارجحیت استفاده از مقادیر تصادفی و غیرقابل پیش بینی بعنوان GUID برای شناسه رکوردها.
- طراحی آزمونهایی برای ارزیابی صحت عملکرد مکانیزمهای مجوزدهی.