IT Security Januar / Februar 2024
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen Fein-granulare Autorisierung – Warum der Hype?
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie
Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung
Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen
Fein-granulare Autorisierung – Warum der Hype?
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 37<br />
gehörten OWASP API 8-Angriffsverhaltensweisen<br />
wie SQL-Injection, Command<br />
Injection, Directory Traversal und<br />
Fuzzing von sensiblen Daten. Als die<br />
grundlegende Aufklärung keinen<br />
schnellen Ertrag brachte, ging der Angreifer<br />
dazu über, das API-Ökosystem<br />
abzubilden.<br />
Angriffssondierungen: Die Angreifer<br />
begannen dann, bestehende Angriffskonfigurationen<br />
von bekannten Bot-Automatisierungstools<br />
wie OpenBullet zu<br />
verwenden, um grundlegende Angriffe<br />
zum Ausfüllen von Anmeldeformularen<br />
und zum Erstellen gefälschter Konten<br />
durchzuführen. Während eines Zeitraums<br />
von 24 Stunden initiierten die Angreifer<br />
mehr als 1,5 Millionen Anfragen<br />
von 130.000 IP-Adressen, die alle<br />
durch mehr als 1.000 verschiedene Verhaltens-Fingerprints<br />
entschärft wurden.<br />
Fortgesetzte Erkundung: Der Angriff<br />
wurde, obwohl er entschärft wurde,<br />
fortgesetzt. Dabei wurde festgestellt,<br />
dass dies eine Täuschung der Angreifer<br />
und nicht das eigentliche Ziel war. Bei<br />
den folgenden Angriffen kehrte das Erkundungsverhalten<br />
zurück, diesmal mit<br />
Schwerpunkt auf der Kontoerstellung<br />
und den Kassen-APIs.<br />
Entdeckte Schwachstelle: Die Angreifer<br />
entdeckten, dass bei der Erstellung<br />
eines brandneuen Kontos und vor der<br />
E-Mail-Verifizierung die Kassen-APIs<br />
(insbesondere die zum Hinzufügen einer<br />
Zahlungsmethode) vom Benutzer<br />
aufgerufen werden konnten. Dies ist ein<br />
Beispiel für eine gebrochene Autorisierung<br />
auf Funktionsebene, bei der eine<br />
API-Funktion nur von Benutzern verwendet<br />
werden soll, die sich sowohl authentifiziert<br />
haben als auch autorisiert sind.<br />
Diebstahl: Der Schwerpunkt des Angriffs<br />
verlagerte sich auf die Erstellung<br />
von Konten und die Angreifer begannen<br />
sofort damit, neue (gefälschte) Konten<br />
mit gestohlenen Zahlungsinformationen<br />
zu füllen, um gezielt Produkte im<br />
Einzelhandel zu kaufen. Es war irrelevant,<br />
dass ihre Credential Stuffing-Kampagne<br />
fehlschlug. Sie überwachten lediglich,<br />
welche der neu erstellten Konten<br />
erfolgreich auf die Zahlungs-APIs<br />
zugreifen konnten, und durchsuchten<br />
die gestohlenen Kreditkartendaten iterativ,<br />
bis sie eine geeignete für den folgenden<br />
Kauf gefunden hatten.<br />
Was ist API-Sicherheit?<br />
API-Sicherheit ist ein entscheidender Aspekt<br />
bei der Gewährleistung des Schutzes<br />
und der Integrität von Anwendungsprogrammierschnittstellen<br />
(APIs) durch<br />
die Umsetzung wesentlicher Maßnahmen<br />
zur Bekämpfung von Risiken und<br />
Schwachstellen, die zu Datenschutzverletzungen,<br />
betrügerischen Aktivitäten<br />
und Betriebsunterbrechungen führen<br />
könnten.<br />
Um eine optimale API-Sicherheit zu erreichen,<br />
müssen drei Grundprinzipien<br />
beachtet werden: API-Erkennung, Risiko-<br />
und Konformitätsanalyse sowie Be-<br />
www.it-daily.net | <strong>Januar</strong>/<strong>Februar</strong> <strong>2024</strong>