API 安全問題探討

2017/09/09

Web 2.0興起10個年頭，AJAX應用程式快速成長，與其配合的後端語言也隨之蓬勃發展。另外在行動裝置推波助瀾的情況下，各種APP應用程式大量出現，呈現方式與傳統Web相比更具彈性，更多資源放置在用戶端，程式反應更快、使用者體驗更好。開發人員亦大量開發API (Application Programming Interface) 應用在市場上蓬勃發展的行動裝置APP，但這樣的轉換是否會帶來新的風險？

API基於 HTTP 通訊協定之上，所以在身分驗證的特性與一般網頁相同，也就是所謂的「無狀態」(Stateless)，也就是每一次的連線都是唯一、獨立的，沒有維持(retain)連線的狀態的意思。使用Cookie、WWW-Authenticate、Authorization表頭處理認證問題。

而功能實作方面，如以一般開源的程式語言遵循Rest API 開發，可以直觀的以HTTP Method 加上URI，帶上以JSON封裝的資料，抽象而直觀的表達，以POST或是PUT代表Create、GET表達Read、PUT表示Update、DELETE等於Delete四個動作。在微軟的.Net Framework中的Web API則以GET和POST對API操作。

. 使用Node.js中常用的身分驗證middleware套件 " passport "，讓我們來看官網中身分驗證教學範例的程式碼：

我們可以看到基本的身分驗證判斷流程如下

在這裡犯了實作Authentication中很常見的錯誤：不正確的錯誤訊息回應。由OWASP的Authentication Cheat Sheet中的Authentication and Error Message（https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Incorrect_Response_Examples）可以得知過於詳細的錯誤訊息回應可以讓攻擊者得知部分資訊，可以直接猜測程式流程，進一步做後續的攻擊動作。
以上圖來看，當錯誤訊息回應"帳號錯誤"時，可以得知檢查帳號的環節出錯，也就是輸入的帳號並不在資料庫內。若利用程式撰寫大量對伺服器發送封包的腳本程式，將可得知資料庫裡的使用者帳號，也就是所謂的帳號列舉問題。
所以這部分的程式碼邏輯應該被修改為這樣，將帳號或密碼輸入錯誤的問題做一次判斷並輸出：

當然，開發網站的你可能會認為帳號被猜出來沒什麼大不了，但是現今駭客手中都有所謂的"社工庫"，也就是社交工程資料庫，駭客從攻擊中所獲取的資料庫、或是從暗網黑市中所購買的資料庫，經過破解雜湊值後，整理出自己的一套帳號密碼資料庫。若駭客得知使用者的帳號後，可從手中的社工庫中找尋該使用者習慣使用的密碼，嘗試登入該網路服務。

此類問題於API問題中常出現，因API於開發的設計架構上較偏好在回應訊息的詳細程度上做詳細的敘述，並直接將訊息回應至使用者前端，讓整體使用者體驗更好、讓使用者覺得方便，但安全總是與方便牴觸的，在這方面還是不得不注意一些小細節上的問題！

這部分也是絕大多數討論API安全問題時，一定會提到的問題，我們先來看一段express.js官網中的範例程式碼：

express 中提供了一個相當方便的回傳方法，針對 response 物件可以直接引用 JSON 函式將資料回傳。
另外，我們設計一個使用者資料的schema如下：

express 中提供了一個相當方便的回傳方法，針對 response 物件可以直接引用 JSON 函式將資料回傳。
我們現在將情境限縮在針對使用者資料讀寫的情況下做探討。
一般遇到需要回傳資料的情況下，開發者可以很直觀的將物件直接以物件回傳至前端，就算多傳了資料，對於前端運作並無影響。
但是在此情境下，如果將整個gary回傳至前端，也就是將整個使用者資料全部、連帶前端不必顯示的資料一並回傳，在這種情況下，雖然前端用不到但是駭客全部都用的到呢！
在現今要求開發速度快速、開發者時間不夠的情形下，如果開發者不小心，在沒有確認資料內容的情況下，直接將整個使用者資料物件回傳，若是遇到有心人士，將造成使用者個資大量外洩之問題！

此類情形在許多的APP或是前後端分離的網站中，若存在查詢其他使用者的功能中經常出現。是開發者不得不注意的課題！

除了使用者個資上的問題，在實際的滲透測試專案中，也曾經出現簡訊的二階段認證功能，於資料傳輸過程中將認證碼外洩的問題，也是開發者未確認物件資料內容就將功能撰寫完畢的案例。

其他訊息

產業訊息

API 安全問題探討

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！