自动化api漏洞fuzz实战 .docxVIP

自动化AP漏洞Fuz实战

周阳、吕竭

01API攻击崛起的背后

02 API攻击面概述

03APIFuzz方案及实战案例

01 API攻击崛起的背后BehindtheriseofAPIattacks

万物互联背景下的数据传输链路

API经济与API生态

国际AP增速：2021年AP数量增长39%，AP调用量增长56%

美国开放银行应用Dave数据泄露 Postman：2021StateoftheAPIReport，over2700+companies 某电商平台AP泄露11亿条用户数据

2020年7月，美国开放银行应用Dave的700万用户信息泄露并在黑客平台被贩卖。包括姓名、电话、住址、出生年月、加密的社保号、电子邮件地址，以及经过Bcrypt哈希处理的密码以及3,092,396个电子邮件地址。

2021年6月，某电商企业11亿条用户信息泄露，调查结果显示有黑产通过订单评价API绕过平台风控批量爬取

加密数据，爬取内容包括买家用户呢称，用户评价内容，昵称等敏感字段等信息。

FacebookAP泄露5亿条用户数据 领英API泄露7亿用户个人信息

2021年4月，Facebook5亿用户数据在暗网公开售卖，其中包括用户的昵称，邮箱，电话，家庭住址信息。Facebook回应称报道中的数据泄露事件与外部黑客数据窃取有关，起因为2019年在线业务API一个功能遭到误用，导致信息出现泄露，影响用户约5.3亿。

2021年6月，领英爆发最大规模数据泄露事件，7亿用户个人信息在暗网售卖，研究人员经对比发现该数据样本是真实的。黑客称数据是利用领英网站API获取到用户上传到领英网站的个人信息。

02 API攻击面概述OverviewofAPIattacksurface

API协议类型

RestfulAPI（主流）

SOAPAPI

GraphQLAPI

gRPCAPI

...

API攻击面

OWASPAPISecurityTop10

企业真正的API风险

A1：失效的对象级授权 权限问题 通过遍历参数批量拖取数据的对象级别访问鉴权失效

A2：失效的用户认证

A3：过度的数据暴露 敏感数据暴露脱敏失效，或一次性返回多条不必要的敏感数据

A4：资源缺失速率限制

A5：功能级别授权已损坏

A6：批量分配

A7：安全性错误配置

A8：注入

A9：资产管理不当

A10：日志和监控不足

代码漏洞

API基础设施漏洞

错误配置

业务逻辑缺陷

SQL注入、命令执行，由业务开发者导致

API后端中间件、基础设施漏洞，如log4j2、APISIX漏洞

不安全、不完整或者临时的配置，如临时调试API、未鉴权API、存储权限公开、不必要的http方法、跨域资源共享等

无校验、无防重放、无风控策略、高并发导致条件竞争等

例：API权限问题(SonarQubeAPI未授权下载源代码)

例：API基础设施漏洞(还是权限问题？)

?CVE-2022-29464

WSO2APIManager!#$%’RCE

?CVE-2022-24112

ApacheAPISIXbacth-requests(%#)*+RCE

?CVE-2021-45232

ApacheAPISIXDashboard,#

导致API问题频发的原因

企业角度：

?大规模分布式系统及复杂应用架构带来API数量迅猛增长

?基于API-First理念构建的研发流程，极短的迭代周期导致API变动跟踪困难?传统安全测试/防护工具对API风险收敛的失效

攻击者角度：

?API可以直达数据

?大部分API的基础漏洞未被发掘?云原生应用API成为主要攻击面

03 APIFuzz方案实战案例APIFUZZSchemepracticalcase

传统WebFuzz方法的弊端

自定义路径：

?基于爬虫的web扫描器和基于字典的爆破工具获取到的API路径有限

参数结构复杂性：

?传统WebFuzz是基于GET/POST协议解析Form表单，然而API存在多种协议格式、多层嵌套的参数结构、参数内编码等场景，不够满足使用者的需求

命中率：

?传统WebFuzz工具生成的请求参数值不够精确，效率比较低下

APIFuzz流程

?通过swagger文档或进行流量分析获取到API路径、参数结构、参数类型?通过对请求序列的分析，获取API请求顺序并且生成更精确的参数值

?通过树结构参数解析及递归解码，解决API传参的复杂性问题

获取API参数结构1：Swagger解析

BasePath

参数

Host

参数值传递

获取API参数