Unrestricted Access to Sensitive Business Flows

Особливості цієї вразливості

Експлуатація зазвичай передбачає розуміння бізнес-моделі, що підтримується API, пошук конфіденційних бізнес-потоків і автоматизацію доступу до цих потоків, що завдає шкоди бізнесу.

Поширеність

Відсутність цілісного уявлення про API для повної підтримки бізнес-вимог, як правило, сприяє поширенню цієї проблеми. Зловмисники вручну визначають, які ресурси (наприклад, кінцеві точки) задіяні в цільовому робочому процесі та як вони працюють разом. Якщо механізми пом’якшення вже діють, зловмисники повинні знайти спосіб їх обійти.

Впливи

Загалом технічного впливу не очікується. Експлуатація може завдати шкоди бізнесу різними способами, наприклад: перешкодити законним користувачам придбати продукт або призвести до інфляції у внутрішній економіці гри.

Як зрозуміти що API вразлива?

Створюючи кінцеву точку API, важливо розуміти, який бізнес-потік вона відкриває. Деякі бізнес-потоки більш чутливі, ніж інші, у тому сенсі, що надмірний доступ до них може завдати шкоди бізнесу.

Загальні приклади чутливих бізнес-потоків і ризику надмірного доступу, пов’язаного з ними:

  • Купівля продуктів — зловмисник може придбати весь запас товару з високим попитом одночасно та перепродати за вищою ціною.

  • Створення потоку коментарів/дописів - зловмисник може спамити систему.

  • Бронювання - зловмисник може зарезервувати всі доступні часові проміжки та заборонити іншим користувачам використовувати систему.

Приклади сценаріїв атак

Сценарій №1

Технологічна компанія оголошує, що збирається випустити нову ігрову консоль на День подяки. Товар користується дуже високим попитом, а запас обмежений. Зловмисник пише код, щоб автоматично купити новий продукт і завершити транзакцію.

У день випуску зловмисник запускає код, розподілений по різних IP-адресах і місцях. API не реалізує належний захист і дозволяє зловмиснику купити більшу частину акцій раніше за інших законних користувачів.

Пізніше зловмисник продає продукт на іншій платформі за значно вищою ціною.

Сценарій №2

Авіакомпанія пропонує онлайн-купівлю квитків без комісії за скасування. Користувач зі злими намірами бронює 90% місць на бажаний рейс.

За кілька днів до рейсу зловмисник скасував одразу всі квитки, що змусило авіакомпанію знизити ціни на квитки, щоб заповнити рейс.

У цей момент користувач купує собі один квиток, який набагато дешевший за оригінальний.

Сценарій №3

Додаток для обміну поїздками надає реферальну програму – користувачі можуть запросити своїх друзів і отримати кредит за кожного друга, який приєднався до програми. Цей кредит пізніше можна використати як готівку для бронювання поїздок.

Зловмисник використовує цей потік, написавши сценарій для автоматизації процесу реєстрації, коли кожен новий користувач додає кредит до гаманця зловмисника.

Пізніше зловмисник може скористатися безкоштовними проїздами або продати облікові записи з надмірними кредитами за готівку.

Як запобігти

Планувати пом’якшення наслідків слід виконувати у два рівні:

  • Бізнес – визначте бізнес-потоки, які можуть завдати шкоди бізнесу, якщо їх надмірно використовувати.

  • Інжиніринг - виберіть правильні механізми захисту, щоб зменшити бізнес-ризик.

Деякі з механізмів захисту є більш простими, тоді як інші складніше реалізувати. Для уповільнення автоматизованих загроз використовуються такі методи:

  • Фінгерпринт пристрою: відмова в обслуговуванні неочікуваних клієнтських пристроїв (наприклад, без заголовку браузерів) спонукає зловмисників використовувати більш складні рішення, що обходиться їм дорожче.

  • Виявлення людини: використання або captcha, або більш просунутих біометричних рішень (наприклад, слідкування за діями введення)

  • Нелюдські дії: аналізуйте потік користувача, щоб виявити нелюдські дії (наприклад, якщо користувач отримав доступ до функцій «додати в кошик» і «завершити покупку» менш ніж за одну секунду)

  • Розгляньте можливість блокування IP-адрес вузлів виходу Tor і відомих проксі-серверів

Захистіть і обмежте доступ до API, які використовуються безпосередньо машинами (наприклад, API для розробників і B2B). Вони, як правило, стають легкою мішенню для зловмисників, оскільки часто не реалізують усі необхідні механізми захисту.