當組織使用API（應用程序編程接口）與第三方互動時，必須了解所引入的相關安全隱患。以零售商為例。現在，許多零售商將信用卡作為第三方在線交易。這樣，零售商可以減少持卡人的足跡，并減少支付卡行業（PCI）標準的風險。但這些數據卻分流給了潛在的無擔保第三方。

由此，引入了一些關鍵問題。轉移給第三方是提供了解決方案還是引入了新的問題？零售商如何提供無縫的客戶體驗，同時又將如何保護客戶的關鍵數據？

問題：API濫用和枚舉攻擊

想要了解這兩個問題，可以參考信用卡在線購買食品的處理工作流程為例。首先將個人要購買的物品放入購物車，然后開始結賬過程，輸入付款和交貨信息。

在此階段，黑客都可以將交易從其網絡瀏覽器推送到攔截代理，以進行工作流分析。最近，在研究零售商如何更好地緩解這些威脅時進行了分析。

在攔截代理中檢查到的工作流程顯示了應提交用于購買的付款信息。但是，它還顯示了其他新的API端點。進一步研究此交易后，注意到信用卡詳細信息的HTTP-POST，該信息已通過API發送給第三方。來自第三方API的響應包括該特定食品零售商將需要使用該令牌來匹配此交易并最終獲得付款。

假如用逆向思維來評估風險。如果有付款信息，包括信用卡號和有效期，但沒有信用驗證值（CVV），是否可以使用枚舉技術嘗試獲得令牌？

為了找到這個問題的答案，研究人員從請求中剝離了所有cookie、令牌、跟蹤器等，發現仍然可以找回令牌。將API標記化服務請求加載到了攔截代理中，并進行了一系列調用，將所有可能的CVV與卡和到期日期結合在一起，從而能允許創建包含正確值的偽造標記。從這里開始，研究人員設置了一個輪換，以順序創建從100到999的請求，而標記化腳本完美運行。

如果研究人員是黑客的身份，那么這里的最后一步是將這些生成的令牌逐個輸入到結賬流程中，直到成功匹配為止。

解決方案：了解阻止惡意行為的API

利用零售商的API和第三方API，黑客可以高速實施此類惡意行為。并且，如果使用代理將這些操作分布在多個IP地址上，那么零售商將很難注意到正在發生的事情。

那么，解決方案是什么？第一步是測試API功能和行為。如果可以提交多個令牌來找到正確的缺失值，那么應該設置一個事務計數器，該計數器允許用戶出錯，并在經過一定次數的嘗試后作為結賬工作流的一部分，強制重新進行認證。同樣，也建議與供應商合作，要求結賬流程僅來自有效訂單。應該密切監視這方面的潛在濫用。

持續監視這種惡意行為，自動阻止多個可疑提交并創建欺騙性環境以混淆潛在攻擊者至關重要。這些類型的攻擊會持續很長時間，并且可能涉及數千個錯誤請求。為了保護組織，安全團隊必須確定潛在的風險領域，學會發現這種活動的模式，并從具有這些領域專業知識的外部資源中尋求幫助。只有這樣，組織才會采取強有力的安全措施，以幫助減輕這些風險。

本文翻譯自：https://threatpost.com/third-party-apis-enumeration-attacks/162589/如若轉載，請注明原文地址

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:threatpost.com

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明