本周,我们将查看Microsoft和Truecaller Guadians最近报告的API漏洞、用于API安全的新的渗透测试实验室,以及即将在福特汽车(Ford Motors)举办的关于API安全过程的网络研讨会。
漏洞:Microsoft联机帐户
重置帐户密码的API端点是常见的攻击向量。攻击者通过提供尽可能多的密码重置代码组合,在可用的时间窗口内强制执行这些操作。
拉克斯曼·穆提亚破解所有微软在线帐户密码重置API的方法。他要求为目标帐户设置密码重置码(在微软的情况下是7位数的密码),然后试图通过调用来自多个位置的所有可能组合的验证API来强行进入。
实际上,微软已经采取了一些措施,以加大入侵系统的难度:
- API不接受代码只是简单的数字,但是在客户端和API之间有一些基本的加密,攻击者必须弄清楚这一点。这也使得无法使用现成的迭代工具,如Burp插件。
- API的速率限制已经到位。
- API很快检测到来自多个端点的并行请求的攻击,列出了IP地址,并拒绝了来自它们的所有代码,包括正确的代码。
尽管如此,Muthiyah设法证明,如果他同时从数以千计的客户部署自动攻击,他仍然可以进入。即使一个帐户受到双因素认证(2FA)的保护,对于6位数的2FA代码也必须重复相同的操作。
由于他的努力和报告,Muthiyah获得了50 000美元的奖励。微软已经解决了这个问题。
我们以前已经报道过Muthiyah为Instagram报告的类似漏洞.
在此吸取的经验教训:
- 密码重置端点经常是OWASPAPI:2个损坏的身份验证漏洞.
- 假设攻击者可以从多个IP地址发起分布式攻击。
- MFA有帮助,但也容易受到类似的攻击。
- 你使用的重置代码越复杂,就越难用暴力来强迫它们。长度相同的字母数字代码有更多的组合。
- 智能限速机制作为附加保护。
脆弱性:Truecaller守护者
Truecaller最近推出了自己的监护应用程序,允许像你的家人这样的可信联系人永久分享你的实时位置。AnandPrakash找到了一种在系统中接管任何帐户的方法。访问用户及其家庭成员的敏感信息。
该漏洞存在于允许用户使用Truecaller帐户登录应用程序的API中。攻击者所要做的就是先登录自己的Truecaller帐户,然后,当进入监护应用程序时,将其有效载荷中的电话号码替换为他们预期的受害者的电话号码。然后,应用程序使用该电话号码作为ID,将用户与配置文件进行匹配。
POST /v0/user HTTP/1.1
Host: api. getguardians. com
Content-Type: application/json
Accept: */*
Connection: close
Content-Length: 656
User-Agent: Guardians/1.1.3 (com.truesoftware.Guardians; build:1.1.3; iOS 14.4.0) Alamofire/5.4.1
Accept-Language: en-IN;q=1.0, kn-IN;q=0.9, hi-IN;q=0.8, hi-Latn-IN;q=0.7
Authorization: Bearer aQ4AOdxwPPWJM06sICQMQRWlANOC1crV
Accept-Encoding: gzip, deflate
{
"userVerificationInput": {
"nonTCUserToken": "",
"tcUserSignature": "[Attacker's Signature]",
"tcUserPayload": "[Attacker's Payload]"
},
"phoneNumber": {
"countryCode": "IN",
"number": "[Victim's Phone Number]"
},
"tcUser": true,
"ios": true
}- 没有防止有效载荷篡改的保护措施(这不是一个签名的令牌)
- 监护应用程序没有以任何方式验证传入请求中的电话号码是否属于在Truecaller中验证身份的用户。它只会让任何提供已知电话号码的人都能完全访问该帐户。
这是另一个例子OWASPAPI:2个损坏的身份验证漏洞。请注意身份验证工作流设计,特别是当您查看联邦场景时,用户登录到一个系统,然后访问另一个系统。
培训:API安全控制实验室
渗透测试是通过实践学到的。宾斯特实验室创建了一个特殊的类别并开始在他们的网站上添加API安全实验室。一个亲自操作的API安全实验室已经可用,还有3个正在进行中。
获得一些亲身体验的绝佳机会。
企业API安全:福特汽车
在大型企业中推出成功的API安全程序可能是一个挑战。
下星期四,三月十八日上午八时, 达伦·谢尔库斯基,福特汽车公司车辆和连接网络安全经理,告诉他们的过程是怎样的。
在网络研讨会上,达伦将解释福特的API安全方法,以及他们在确保数百名管理数千个API的开发人员的生产力的同时,执行安全法规的过程。
