【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務

2020/01/02

多年前伴隨 Web Services 蓬勃興起,由 XML、SOAP、WSDL 和 UDDI 四大核心元件形成堅強技術後盾,造就電子商務熱潮。多年後的今天,隨著 JSON、RESTful 蔚為新寵,加上由 Swagger 規範 API 文件框架,讓大家的 API 皆能與世界接軌,使得 API 像是過去 Web 般如火如荼延燒,儼然成為數位創新的催化劑,影響範圍遍及各行各業。

但 API 猶如雙面刃,安全的 API 可稱職扮演創新樞紐,反觀不安全的 API,恐淪為駭客喜愛的攻擊目標,成了竊取個資或機敏資訊的新天地。為此 OWASP 於今年(2019)首度公佈「API Security Top 10」,揭露十個常見的 API 安全風險,讓所有企業或組織知所防範。

包含「無效認證與授權」在內,國內常面臨三大 API 風險

果核數位資深網路安全顧問陳臣瑩表示,其實在 OWASP Web Top 10 2017 初版,即列出兩個 API 相關風險,分別是名列第七的「API 攻擊防護不足」、第十的「API 未受防護」,意謂 OWASP 早已察覺 API 安全議題日趨嚴重,故於今年正式推發佈 API Security Top 10。

根據此次入選名單,陳臣瑩歸納臺灣最常觸犯的 API 風險有三大項,按照發生頻率來排序,依序是「A2:無效認證與授權」(Broken Authentication)、「A1:無效的對象層級授權」(Broken Object Level Authorization),及「A4:缺乏與存取速率的不足」(Lack of Resource and Rate Limiting)。

其中 A2 部份類似弱密碼、預設密碼概念,意指企業未做好身份認證管理,導致駭客有機會暫時或永久取得使用者 ID,在未經授權下進入後端服務,可能擅自修改設備參數、從事不當操作,甚至建立 Botnet 中繼站。

A1 意指駭客利用後臺權限控管的漏洞(初次通過身份驗證後,不需經過再次驗證即可調用其他資料),擅自修改為 001、002、003…等等用戶編號,佯裝為不同身份,恣意存取各個使用者的機敏資料。

至於 A4 代表 API 對客戶端請求的資源大小、數量未施加任何限制,可能導致 API 發佈過多封包、變相釀成 DDoS 攻擊,造成服務停擺。

果核數位資訊技術處處長何奕甫補充說,以常見的 A2、A1 等風險而論,淺顯易懂的說法分別是「可以輕易登入系統」、「可以輕易轉換權限」,假使兩項管控機制皆未實作完善,讓駭客可堂而皇之使用後端API 服務,將形成重大危害。前面提及擅改用戶編號、冒用他人身份,達到「水平提權」,有些厲害的駭客甚至可以做到「垂直提權」取得管理者身分,如假設某參數「0」代表一般使用者、「1」代表管理者,即可透過修改API參數之攻擊手法,從 0 躍升為 1,取得更高階權限,進而產生極大的資安危害風險,甚至造成破壞性;不管在金融、電商等應用場景,都曾出現過類似真實案例。

他提醒企業,透過弱點掃瞄、滲透測試、原碼檢測,甚至資安流程監控等服務,可找出潛在漏洞與風險,例如當使用者通過前端帳密驗證後,便如入無人之境直接呼叫 API功能、存取資料,一旦掌握此情況,便能立即於後端加入認證暨授權管理機制,適時化解危機。

資深顧問協助,從紛雜告警釐清事件真相

陳臣瑩認為,總的來說,要化解前述 API 安全隱憂,須做好三件事。首先從開發者角度,API 設計過程應遵循 OpenAPI 3.0、NIST SP 800-95 等國際標準,確保能寫出較安全的程式碼;假使遇到國際標準未定義到的部份,再搭配客製化開發。

假設是遵照國際標準產出的程式碼,建議連同 API 和前端程式架構(Web),一併接受原碼檢測,驗證究竟是否真的符合標準;至於客製化 API,建議委由有經驗的檢測人員或顧問扮演「駭客」或「破壞者」,發動滲透測試,檢視程式碼結構是否存在缺失。

第二件事,針對系統與網路架構方面,應部署諸如 WAF、IPS 等設備,以建立系統層級的防禦能力,於必要時抵擋惡意攻擊。第三件事,即是針對 Web 服務、API 服務建立監控機制,只要察覺異狀隨即發送警訊,或一併通知 SOC 或 SIEM 集中處理。

陳臣瑩重申,藉由開發、測試、監控等三段安全流程環環緊扣,便能輕易補強 AI、A2 或 A4 等常見漏洞。他進一步提醒,企業切記做好 API 日誌監控,繼而將日誌送交 SOC 或 SIEM 進行多面向整合性分析,如此即使面對因商業邏輯緣故所導致的漏洞、難借助一般方式檢測出來,依然可抓揪出異常跡象。

綜觀果核提供的 API 安全解決方案,何奕甫指出,首先可使用原碼檢測服務,針對企業開發完成的 API,即可借助該服務來檢視箇中漏洞;再者,如果企業的 API 服務已上線運行,可藉由果核提供的弱點掃描與滲透測試等服務項目,探查有無可供駭客利用的弱點。

除上述基本檢測服務外,果核還提供進階服務。其中包括 appGuard,它可為 App「加殼」,增加 App 遭破解的難度;另有 Smart Sensing,可隨時偵測App行為,是否正在遭受不正常的使用等。此外果核透過與 WAF 專業廠商合作,可協助用戶有效監測 Web 和 Web API 的安全性。

更重要的,畢竟產品或工具的主要功能在於產生告警,仍需借重資深顧問加以調校和簡化,才能快速準確地釐清核心問題,而果核顧問群擁有優於業界的專業度,多數都能勝任紅隊演練高階任務,而非只停留在一般常見的資安檢測、滲透測試層次。

總而言之,果核已針對日益險惡的 API 風險,備妥完整的檢測服務、監控方案,輔以資深顧問從旁收㪘與還原問題真相,足以為企業建立強大的 API 保護傘,確保數位創新過程不受侵擾。


iThome 專訪連結: https://www.ithome.com.tw/pr/135027





其他動態
果核數位力推WeMB方案,加速建立企業3D視覺化智慧戰情室

果核數位力推WeMB方案,加速建立企業3D視覺化智慧戰情室

2022/06/09
蓋亞資訊攜手果核數位打造手機App資安全面防護網

蓋亞資訊攜手果核數位打造手機App資安全面防護網

2022/06/09
伊雲谷、果核數位共推雲端資安解決方案appGuard

伊雲谷、果核數位共推雲端資安解決方案appGuard

2022/05/18
科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館

科技視覺,釋放數據新價值,創造高效關鍵決策 - 2022 智慧城市與物聯網 南港展覽館

2022/03/01
HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?

HACKER TALK - 關鍵基礎設施一點也不安全?! XP 時代的惡意程式盛行又該如何應對?

2022/02/22
2022 資安365年會-OWASP Top 10 2021企業指南

2022 資安365年會-OWASP Top 10 2021企業指南

2022/02/21
未來的CDN服務主流:複合式CDN平台的管理與效用

未來的CDN服務主流:複合式CDN平台的管理與效用

2021/10/26
駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 
馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明

駭客首要攻擊目標Active Directory(AD)!該如何保障AD安全並阻斷攻擊?! 馬上報名【InfoSec Taiwan國際資安大會】將為您現場說明

2021/10/14
什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?

什麼是多重內容傳遞網路 (Multi CDN)?網站停機有哪些原因?

2021/06/15
果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!

果核推出資安評級服務,協助企業檢測網路駭客病毒的威脅!

2021/06/02
複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!

複合式內容傳遞網路(CDN)平台,打造內外兼具的客製化資安解決方案!

2021/05/17
地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!

地表最強的駭客論壇,5分鐘快速分析ML與區塊鏈安全!

2021/03/25
果核數位兩大資安方案助企業保護App安全

果核數位兩大資安方案助企業保護App安全

2021/03/15
地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程

地表最強 駭客講堂 - 開春首發,不聽會後悔的重量級課程

2021/02/09
2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動

2021/1/28-1/29 Taipei Game Show台北國際電玩展-B2B ZONE 商務區攤位活動

2021/01/05
果核 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊

果核 2020 聖誕駭樂論壇,剖析 WoW64 惡意利用、進階網路機器人攻擊

2021/01/04
果核數位榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮

果核數位榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮

2020/12/09
遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?

遭到網路駭客DDoS攻擊怎麼辦?要如何重新建立資安防護?

2020/11/23
駭客資安論壇 - 2020/12/5(六) 聖誕駭樂

駭客資安論壇 - 2020/12/5(六) 聖誕駭樂

2020/11/16
重新定義金融加密機制與分享醫療區塊鏈解決方案 - 11/2-11/4 InfoSec Taiwan 2020國際資安大會

重新定義金融加密機制與分享醫療區塊鏈解決方案 - 11/2-11/4 InfoSec Taiwan 2020國際資安大會

2020/10/14
防駭之心不可無 – 建立防護化解危險,勢在必行

防駭之心不可無 – 建立防護化解危險,勢在必行

2020/10/06
鞏固防禦堡壘,拒絕再當受駭者

鞏固防禦堡壘,拒絕再當受駭者

2020/09/29
果核聲明

果核聲明

2020/09/25
果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道

果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道

2020/06/23
~~線上~~駭客資安論壇將於6/11準時上線

~~線上~~駭客資安論壇將於6/11準時上線

2020/05/27
物聯網隱藏資安風險
果核數位推AI SOC服務

物聯網隱藏資安風險 果核數位推AI SOC服務

2020/05/11
HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器

HyperG 強打 Amazing Thor VDI 方案,為企業提出安全靈活的防疫辦公利器

2020/04/28
在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!

在家上班4隱憂!釣魚信件、驗證機制、連線存取恐成為資安破口!

2020/04/16
HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全

HyperG 推 Smart Sensing,藉由動態偵測與防禦機制,強力守護 App 安全

2020/04/07
果核數位與 Reblaze 聯手出擊,強力守護企業網站與 App 安全

果核數位與 Reblaze 聯手出擊,強力守護企業網站與 App 安全

2020/03/17
2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用

2020年資安人亞太資訊安全論壇 - 區塊鏈技術與醫療應用

2020/02/06
2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動

2020/2/6-2/7 Taipei Game Show台北國際電玩展攤位活動

2020/01/17
果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

2020/01/06
【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務

【iThome專訪】果核鎖定 OWASP 十大 API 風險,完整佈局檢測、監控與顧問服務

2020/01/02
AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全

AISOC服務 - 第一時間為客戶揪出可疑的行為,確保內部網路的安全

2019/12/23
果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩

果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩

2019/12/09
【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了

【數位時代專訪】- 做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了

2019/12/09
12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】

12/14 資安社群論壇【聖誕駭樂- 駭客退散耶誕禮物】

2019/11/28
果核數位通過108年經濟部工業局資安服務能量登錄

果核數位通過108年經濟部工業局資安服務能量登錄

2019/10/18
果核數位資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力

果核數位資安社群論壇會後報導 - 洞察駭客戰術、增強防禦能力

2019/06/04
VMware攜手AWS 助企業加快數位轉型 - 果核數位為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務

VMware攜手AWS 助企業加快數位轉型 - 果核數位為首波在地合作夥伴,共同提供完整的VMware Cloud on AWS技術服務

2019/05/23
5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享

5/25(六) 今年首場資安社群論壇 - 駭客過招,實戰分享

2019/05/02
2019年果核數位【共同供應契約採購項目總覽】更新

2019年果核數位【共同供應契約採購項目總覽】更新

2019/04/25
【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞

【雙平台下被刻板印象所忽略的手機app漏洞】- 2019 亞太資訊安全論壇,您不能不知道的平台漏洞

2019/04/18
果核數位與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用

果核數位與BaaSid攜手,實現史上最便捷的安全區塊鏈認證應用

2019/03/07
在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!

在iOS系統架構下,你的app真的無堅不摧? iThome臺灣資安大會將分享iOS攻擊手法與攻破實戰分享,快上網報名議程!

2019/03/04
TAF國家級認證的實驗室-電檢中心認證appGuard四大功能

TAF國家級認證的實驗室-電檢中心認證appGuard四大功能

2019/01/28
2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場

2019/1/24-1/25 Taipei Game Show 台北國際電玩展 - 世貿三館商務區正式登場

2019/01/17
從防堵手遊外掛起家,果核數位攻進金融App資安市場

從防堵手遊外掛起家,果核數位攻進金融App資安市場

2018/10/18
iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界

iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界

2018/10/04
9/20 國際資安威脅與戰略攻防要素- 資安社群論壇

9/20 國際資安威脅與戰略攻防要素- 資安社群論壇

2018/08/29
用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中

用AI從Big Data 挖寶掘金! 研討會即日起熱烈報名中

2018/08/07
【案號:1070201】appGuard加入共同供應契約採購囉!

【案號:1070201】appGuard加入共同供應契約採購囉!

2018/06/06
果核數位力推appGuard,助保險業牢牢守護App安全

果核數位力推appGuard,助保險業牢牢守護App安全

2018/05/31
Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!

Radware全系列產品舊換新 : Server Load Balance(Alteon)、IPS Defensepro和Link Load Balance(Linkproof),即日起開跑!

2018/04/24
果核與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務

果核與全球一級DDOS清洗商Radware攜手合作,提供企業資安完整防護,並提供台灣在地化的第一線服務

2018/04/23
果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊

果核數位 SOC 結合 AI 聯防,能加速斬斷駭客攻擊,以子之矛、攻子之盾,反制敵方的 AI 攻擊

2018/03/27
2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!

2018 資安社群論壇報名開跑,精采內容你絕對不能錯過阿!

2018/03/12
【橘妹愛玩 TECH專訪】App 上線前的最強把關者:果核貓網讓開發者在雲端完成一切 App 相容性測試!

【橘妹愛玩 TECH專訪】App 上線前的最強把關者:果核貓網讓開發者在雲端完成一切 App 相容性測試!

2018/03/06
賀!106年資安服務廠商評鑑 - 果核數位SOC監控服務獲得特優

賀!106年資安服務廠商評鑑 - 果核數位SOC監控服務獲得特優

2018/01/05
iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】

iThome報導【頂尖駭客攻防交流,培養多元防護新觀點】

2018/01/05
Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!

Merry Hackmass - 2017年最後一場資安社群論壇,趕快來報名!

2017/12/05
果核數位資安社群論壇徵稿活動即刻開跑,你就是我們要的熱血資安講師

果核數位資安社群論壇徵稿活動即刻開跑,你就是我們要的熱血資安講師

2017/11/15
企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!

企業有API漏洞怎麼辦?資安團隊靠滲透測試,模擬駭客找到問題!

2017/09/19
遊戲決勝在雲端Bluemix Infra 研討茶會,分享IBM Watson人工智慧與社群結合應用

遊戲決勝在雲端Bluemix Infra 研討茶會,分享IBM Watson人工智慧與社群結合應用

2017/09/12
資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界

資安社群論壇 - 駭客思維 滲透測試,帶您進入駭客的世界

2017/09/01
2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!

2017/09/20 (三)「當AI遇到Big Data商機在哪裡?」研討會,席次有限,額滿為止!

2017/08/28
果核資安社群論壇 - 報名開始
將邀請專業講師,探討時下關注的資安議題

果核資安社群論壇 - 報名開始 將邀請專業講師,探討時下關注的資安議題

2017/06/22
【專訪】善用果核數位appGuard 搶進商機無限行動支付市場

【專訪】善用果核數位appGuard 搶進商機無限行動支付市場

2017/05/22
果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!

果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!

2017/05/11
你在明,駭客在暗,防駭時代先行自保,刻不容緩!

你在明,駭客在暗,防駭時代先行自保,刻不容緩!

2017/03/24
【資安研討會線上報名開跑】

【資安研討會線上報名開跑】

2017/03/16
重大漏洞訊息通報 - CVE-2017-5638 Struts 2 S2-045

重大漏洞訊息通報 - CVE-2017-5638 Struts 2 S2-045

2017/03/08
IBM與果核結盟切入雲端服務 協助台灣遊戲布局全球<br><br>

IBM與果核結盟切入雲端服務 協助台灣遊戲布局全球

2016/12/19
【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機<br><br>

【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機

2016/12/13
2017資安趨勢論壇 – 行動軟體資安檢測與防護<br><br>

2017資安趨勢論壇 – 行動軟體資安檢測與防護

2016/12/12
「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明<br><br>

「網管人」雜誌專訪刊載價格與實際收費狀況有所出入說明

2016/11/11
【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布<br><br>

【專訪】網管人 - 檢測行動應用安全 幫App套金鐘罩鐵布

2016/11/11
【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務<br><br>

【合作客戶】台灣之光-四合願,選用appGuard做為最佳防駭服務

2016/07/13
【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~

【活動訊息】【突破虛擬+現實的數位商戰】 ~驊宏資通帶您 ~ 翱翔雲端 倘佯數據海!~

2015/10/12
【專訪】保護App安全 果核數位推出appGuard

【專訪】保護App安全 果核數位推出appGuard

2015/09/02
【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇

【活動訊息】2015/01/15(四)13:30~17:00 2015-HP資安趨勢論壇

2014/12/30
【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營

【活動訊息】2015/02/06 (五) HP Fortify 源碼檢測體驗營

2014/12/25
來自遊戲橘子的果核數位

來自遊戲橘子的果核數位

2014/12/25