API4:2019 Kurangnya Sumber Daya & Pembatasan Laju
| Agen Ancaman/Vektor Serangan | Kelemahan Keamanan | Dampak |
|---|---|---|
| Khusus API: Eksploitasi 2 | Prevalensi 3 : Deteksi 3 | Teknis 2 : Spesifik Bisnis |
| Eksploitasi memerlukan permintaan API sederhana. Tidak ada otentikasi yang diperlukan. Beberapa permintaan secara bersamaan dapat dilakukan dari satu komputer lokal atau dengan menggunakan sumber daya komputasi cloud. | Umum ditemukan API yang tidak menerapkan pembatasan laju atau API di mana batas tidak ditetapkan dengan benar. | Eksploitasi dapat mengarah ke DoS, membuat API tidak responsif atau bahkan tidak tersedia. |
Apakah API Rentan?
Permintaan API mengonsumsi sumber daya seperti jaringan, CPU, memori, dan penyimpanan. Jumlah sumber daya yang diperlukan untuk memenuhi permintaan sangat bergantung pada input pengguna dan logika bisnis endpoint. Juga, pertimbangkan fakta bahwa permintaan dari beberapa klien API bersaing untuk sumber daya. API rentan jika setidaknya satu dari batasan berikut hilang atau disetel secara tidak tepat (misalnya, terlalu rendah/tinggi):
- Batas waktu eksekusi
- Memori maksimum yang dapat dialokasikan
- Jumlah deskriptor berkas
- Jumlah proses
- Ukuran muatan permintaan (misalnya, unggahan)
- Jumlah permintaan per klien/sumber daya
- Jumlah catatan per halaman untuk dikembalikan dalam satu respons permintaan
Skenario Serangan Contoh
Skenario #1
Seorang penyerang mengunggah gambar besar dengan menerbitkan permintaan POST ke /api/v1/images. Saat unggahan selesai, API membuat beberapa thumbnail dengan ukuran yang berbeda. Karena ukuran gambar yang diunggah, memori yang tersedia habis selama pembuatan thumbnail dan API menjadi tidak responsif.
Skenario #2
Kami memiliki aplikasi yang berisi daftar pengguna di UI dengan batas 200 pengguna per halaman. Daftar pengguna diambil dari server menggunakan kueri berikut: /api/users?page=1&size=200. Seorang penyerang mengubah parameter size menjadi 200.000, menyebabkan masalah kinerja pada basis data. Sementara itu, API menjadi tidak responsif dan tidak dapat menangani permintaan lebih lanjut dari klien ini atau klien lainnya (alias DoS).
Skenario yang sama dapat digunakan untuk memancing kesalahan Integer Overflow atau Buffer Overflow.
Cara Mencegah
- Docker memudahkan untuk membatasi memori, CPU, jumlah restart, deskriptor berkas, dan proses.
- Terapkan batas seberapa sering klien dapat memanggil API dalam rentang waktu tertentu.
- Beri tahu klien saat batas terlampaui dengan menyediakan nomor batas dan waktu saat batas akan direset.
- Tambahkan validasi server-side yang tepat untuk parameter string kueri dan body permintaan, khususnya yang mengendalikan jumlah catatan yang akan dikembalikan dalam respons.
- Tentukan dan tegakkan ukuran maksimum data pada semua parameter dan muatan masukan seperti panjang maksimum untuk string dan jumlah elemen maksimum dalam array.
Referensi
OWASP
- Blocking Brute Force Attacks
- Docker Cheat Sheet - Limit resources (memory, CPU, file descriptors, processes, restarts)
- REST Assessment Cheat Sheet