本周,我们来看看Microsoft和Truecaller Guardians报告的最近的API漏洞,有关API安全性的新渗透测试实验室,以及即将在福特汽车举行的有关API安全性过程的网络研讨会。

漏洞:Microsoft Online帐户

用于重置帐户密码的API端点是常见的攻击手段。 攻击者通过在可用的时间范围内提供尽可能多的密码重置代码组合来强行实施这些操作。

Laxman Muthiyah找到了一种破解所有Microsoft在线帐户密码重置API的方法。 他要求为目标帐户输入密码重置代码(在Microsoft的情况下为7位数字),然后尝试通过使用来自多个位置的所有可能的组合调用验证API来强行插入密码。

microsoft-password-reset-api
microsoft-password-reset-api

微软实际上已经采取了措施,以使其更难以侵入系统:

  • API不接受纯数字形式的代码,而是在客户端和攻击者必须弄清楚的API之间进行了一些基本的加密。 这也使得无法使用Burp插件等现成的迭代工具。
  • 该API已设置了速率限制。
  • API很快就检测到来自多个端点的并行请求的攻击,将IP地址列入了黑名单,并拒绝了来自它们的所有代码,包括正确的代码。

尽管如此,Muthiyah设法证明,如果他同时从数千个客户端部署自动攻击,他仍然可以进入。 即使帐户受到两因素身份验证(2FA)的保护,对于6位2FA代码也只需要重复相同的操作。

由于他的努力和报告,Muthiyah获得了50,000美元的奖励。 Microsoft已解决此问题。我们之前已经报道了Muthiyah报告给Instagram的类似漏洞。

这里吸取的教训:

  • 密码重置终结点通常是OWASP API:2身份验证失败的来源。
  • 假设攻击者可以从多个IP地址发起分布式攻击。
  • MFA有帮助,但可能容易受到类似攻击。
  • 您使用的重置代码越复杂,对它们进行暴力破解的难度就越大。 相同长度的字母数字代码具有更多的组合。
  • 智能限速机制可作为附加保护。

漏洞:Truecaller守护者

Truecaller最近启动了其Guardians应用程序,该应用程序可与家人等可信赖的联系人永久共享您的实时位置。 Anand Prakash找到了一种方法来接管系统中的任何帐户并访问用户及其家人的敏感信息。

该漏洞位于API中,该API允许用户使用其Truecaller帐户登录该应用程序。 攻击者所需要做的就是首先登录自己的Truecaller帐户,然后在进入“监护人”应用程序时,将有效负载中的电话号码替换为预期受害者的电话号码。 然后,该应用程序使用该电话号码作为ID,以将用户与个人资料进行匹配。

POST /v0/user HTTP/1.1
Host: api. getguardians. com
Content-Type: application/json
Accept: */*
Connection: close
Content-Length: 656
User-Agent: Guardians/1.1.3 (com.truesoftware.Guardians; build:1.1.3; iOS 14.4.0) Alamofire/5.4.1
Accept-Language: en-IN;q=1.0, kn-IN;q=0.9, hi-IN;q=0.8, hi-Latn-IN;q=0.7
Authorization: Bearer aQ4AOdxwPPWJM06sICQMQRWlANOC1crV
Accept-Encoding: gzip, deflate
{
 "userVerificationInput": {
   "nonTCUserToken": "",
   "tcUserSignature": "[Attacker's Signature]",
   "tcUserPayload": "[Attacker's Payload]"
 },
 "phoneNumber": {
   "countryCode": "IN",
   "number": "[Victim's Phone Number]"
 },
 "tcUser": true,
 "ios": true
}
  • 没有防止有效载荷篡改的保护措施(这不是一个已签名的令牌)
  • Guardians应用程序无法以任何方式验证传入请求中的电话号码是否属于在Truecaller中认证的用户。 它将仅向提供已知电话号码的任何人提供对该帐户的完全访问权限。

这是OWASP API:2身份验证失败漏洞的另一个示例。 验证工作流设计时要特别小心,尤其是当您查看联合方案并且用户登录到一个系统然后可以访问另一个系统时。

企业中的API安全性:福特汽车

在大型企业中推广成功的API安全程序可能是一个挑战。

3月18日,下周四,太平洋标准时间(PST),福特汽车公司车辆与连接网络安全经理Darren Shelcusky讲述了他们的流程。

在网络研讨会中,Darren将解释福特实现API安全性的方法以及他们执行安全合规性的过程,同时确保数百名管理数千个API的开发人员的工作效率。

SO资源郑重声明:
1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!3187589@qq.com
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!

SO资源 » API安全性