بازار؛ گروه فناوری اطلاعات: سایت «تریت پست» در گزارشی به قلم جیسون کنت، که طی ۲۰ سال گذشته، درباره امنیت شبکه های بی سیم، برنامه های وب، API ها و Cloud Systems به سازمان ها کمک کرده است و در شرکت امنیت سایبریCequence Security به عنوان محقق فعالیت دارد، به بررسی چگونگی ایمن کردن برنامه شخص سوم پرداخته است:
وقتی سازمان ها از API ها شخص ثالث(Third-Party APIs:ساده ترین تعریف یک برنامه شخص ثالث یک برنامه ایجاد شده توسط یک فروشنده (شرکت یا فرد) است که متفاوت از سازنده دستگاه و / یا سیستم عامل آن است. برنامه های شخص ثالث گاهی به عنوان برنامه های توسعه دهنده نامیده می شوند، زیرا بسیاری از آنها توسط توسعه دهندگان مستقل یا شرکت های توسعه برنامه ایجاد می شوند.) - برای تعامل به صورت برنامه شخص ثالث استفاده می کنند، بسیار مهم است که آنها از امنیت مرتبط با آن مطلع می شوند. برای انجام این کار، آنها باید مانند یک هکر برای ارزیابی اینکه آیا مشکلی یا راه حلی برای مشتریان و سازمان خود معرفی می کنند یا خیر، فکر کنند. آنها می توانند با پیگیری گزینه هایی که یک تجربه یکپارچه را برای مشتریان ایجاد می کنند، جلو بروند و در عین حال از داده های مهم هم محافظت کنند.
به عنوان مثال خرده فروشان را در نظر بگیرید. بسیاری از خرده فروشان اکنون از پردازش کارت اعتباری شخص ثالث برای معاملات آنلاین خود استفاده می کنند. با این کار خرده فروشان ردپای دارندگان کارتهای پرداخت (PCI) استاندارد خود را در معرض خطر قرار می دهند. در حالیکه امکان دارد در همان زمان، آنها این داده ها را به شخص ثالث بدون امنیت بارگیری می کنند.
از طرفی این سوالات به شما کمک می کند برای نمونه آیا بارگیری مجدد برای شخص ثالث راه حلی فراهم کرده یا مشکل جدیدی را معرفی کرده است؟ چگونه خرده فروشان می توانند تجربه یکپارچه از مشتری را ارائه دهند در حالی که هنوز از داده های مهم مورد اعتماد خود محافظت می کنند؟
سوءاستفاده از API
برای درک مشکل در اینجا، ساده ترین راه قرار دادن خود در یک سناریوی واقعی است. گردش کار پردازش کارت اعتباری را برای سفارش آنلاین غذا در نظر بگیرید. فردی اقلام خود را برای خرید در سبد خرید قرار می دهد و با ورود اطلاعات پرداخت و تحویل، مراحل پرداخت را آغاز می کند.
هکرها در این مرحله می توانند تراکنش را از مرورگر وب خود به یک پروکسی رهگیری هدایت کنند تا تجزیه و تحلیل گردش کار انجام شود.
به گفته نویسنده، گردش کاری که در این مرحله در پروکسی رهگیری بررسی کردم، اطلاعات پرداختی را که برای انجام خرید ارسال شده بود، طبق معمول نشان می داد. با این حال، موارد بیشتری در نقاط پایانی جدید API آنلاین را نشان می دهد. با تحقیق بیشتر درباره این تراکنش، متوجه HTTP-POST (متد Post امنیت بیشتری دارد، حجم بیشتری از داده فرستاده میشود) جزئیات کارت اعتباری شدم که از طریق API برای شخص ثالث ارسال شده است. پاسخ API شخص ثالث شامل نشانه ای بود که این خرده فروش مواد غذایی خاص برای مطابقت با این معامله و درنهایت دریافت پول باید از آن استفاده کند.
از آنجایی که من که مثل یک بازیگر مخرب بالقوه فکر می کردم، یک قدم به عقب برگشتم تا ریسک را ارزیابی کنم. اگر اطلاعات پرداخت، از جمله شماره کارت اعتباری و تاریخ انقضا را داشته باشم، اما ارزش تأیید اعتبار (CVV) را نداشته باشم، آیا می توانم از روش شمارش (شامل جستجوی اطلاعات اشتراک شبکه، نسخه خاص برنامه های در حال اجرا، حساب های کاربری، ترافیک SNMP و غیره) برای بارگیری توکن ها (وجه) و آنها را یکی یکی امتحان کنم؟
برای یافتن پاسخ این سوال، کلیه کوکی ها، نشانه ها، ردیاب ها و غیره را از درخواست سلب کردم و دریافتم که هنوز می توانم توکنی را پس بگیرم. من درخواست خدمات علامت گذاری (توکن) API را در پروکسی رهگیری بارگذاری کردم و یک سری تماس تنظیم کردم، با همه CVV های ممکن با کارت و تاریخ انقضا، به من اجازه می داد نشانه های جعلی ایجاد کنم که دارای مقادیر صحیح باشند. از اینجا، من یک چرخش تنظیم کردم که درخواست ها را از ۱۰۰ تا ۹۹۹ به ترتیب ارایه می دهد. به طوری که توکن سازی بی عیب و نقص کار کرد.
راه حل: درک API ها برای جلوگیری از رفتار مخرب
با استفاده از API های خرده فروشان و API های شخص ثالث، بازیگران مخرب می توانند با سرعت بالایی این نوع کلاهبرداری را انجام دهند. درحالی که اگر این اقدامات با استفاده از پروکسی های BulletProof (افزونه BulletProof یکی از بهترین افزونه های امنیتی) در تعدادی از آدرس های آی پی IP توزیع شود، خرده فروش به سختی متوجه خواهد شد که چه اتفاقی می افتد.
بنابراین، راه حل چیست؟ اولین قدم آزمایش عملکرد و رفتار API است. اگر ارائه چندین توکن برای یافتن مقادیر مناسب از دست رفته امکان پذیر است، باید یک شمارنده تراکنش وجود داشته باشد که به تعدادی مشخص مجوز خطاهای کاربر را بدهد و مجوز احراز هویت مجدد را به عنوان بخشی از گردش کار پرداخت پس از تعداد مشخصی تلاش بی ثمر انجام دهد. به همین ترتیب، نیاز به بررسی کردن جریان پرداخت فقط از طریق سفارشات معتبر نیز توصیه می شود.
بسیار مهم است که به طور مداوم رفتارهای مخرب را کنترل کنید، به طور خودکار چندین ارسال مشکوک را مسدود کنید و یک محیط فریبنده ایجاد کنید تا یک مهاجم بالقوه را گیج کنید. این نوع حملات در مدت زمان طولانی اتفاق می افتد و می تواند شامل هزاران درخواست بد باشد. برای محافظت از سازمان ها، بسیار مهم است که تیم های امنیتی زمینه های بالقوه خطر را شناسایی کنند، یاد بگیرند که الگوهای این نوع فعالیت ها را تشخیص دهند و از منابع خارجی در این زمینه ها کمک بگیرند. فقط در این صورت است که سازمان ها از یک وضعیت امنیتی قوی برخوردار می شوند که به کاهش این خطرات کمک می کند.
نظر شما