Barracuda full logo

OWASP Top 10 API-Security-Risiken: Fehlerhafte Authentifizierung

Themen:
28. Apr.. 2023
|
Paul Dughi

Nummer zwei auf der Entwurfsliste des Open Worldwide Application Security Project® (OWASP) der „Top 10 API Security-Risiken“ ist die fehlerhafte Authentifizierung.

Eine fehlerhafte Authentifizierung ermöglicht es Angreifern, Authentifizierungsmethoden zu umgehen, indem sie Schwachstellen in Authentifizierungs- oder Sitzungsmanagement-Tools ausnutzen.

Angriffsvektoren

Da Authentifizierungsmethoden für jeden mit einer Verbindung zu einem Server verfügbar sind, handelt es sich dabei um ein einfaches Ziel für Angreifer. Schwache oder leicht zu erratende Passwörter und Brute-Force-Angriffe können den Zugang ermöglichen, ebenso wie Angriffe zur Fixierung von Sitzungen, mangelhafte Sitzungs-Tokens/Cookies oder das Versäumnis, Sitzungen nach der Abmeldung der Benutzer ungültig zu machen.

OWASP zufolge ist die Authentifizierung bei APIs komplex. Softwaretechniker machen häufig Fehler bei der Implementierung von Authentifizierungs-Tools und -grenzen.

OWASP hat der fehlerhaften Authentifizierung einen Exploitability Score (Punktzahl zur Beurteilung der Ausnutzbarkeit) von drei zugewiesen, was bedeutet, dass sie von Hackern in gewisser Weise ausgenutzt werden kann.

Security-Schwächen

Es gibt zwei Hauptprobleme, wenn es um die fehlerhafte Authentifizierung in der API-Sicherheit geht. Bei der Authentifizierung mit API-Endpunkten fehlt es oft an Schutz. Sie müssen anders behandelt werden als normale Endgeräte mit zusätzlichen Schutzebenen. Zweitens wird aufgrund der verschiedenen Angriffsvektoren häufig der falsche Mechanismus verwendet. Beispielsweise sind Authentifizierungsmechanismen, die für Webanwendungen entwickelt wurden, möglicherweise nicht für Clients des Internet of Things (IoT) geeignet.

OWASP bewertet die fehlerhafte Authentifizierung auf ihrer Skala der Prävalenz und Erkennbarkeit mit zwei Punkten, was darauf hinweist, dass die Schwachstelle alltäglich ist und mit moderatem Aufwand erkannt werden kann.

Geschäftliche Auswirkungen

Auch wenn es sich aus technischer Sicht nicht um die schwerwiegendste Schwachstelle handelt, kann der Zugriff unbefugter Benutzer ein erhebliches Risiko für Unternehmen darstellen.

Verstöße können schwere Schäden verursachen, darunter:

  • Unbefugter Zugriff auf sensible Daten
  • Account Takeover
  • Datenmanipulation
  • Identitätsdiebstahl

Sobald ein Angreifer Zugriff auf ein Benutzerkonto hat, kann er auch andere potenzielle Schwachstellen ausnutzen, wie z. B. die Ausweitung von Privilegien, oder sich seitlich im Netzwerk bewegen. Solche Angriffe können auch zu Problemen beim Schutz von Daten gemäß DSGVO, CCPA, HIPAA oder PCI-DSS führen.

Funktionsweise von Angriffen mit fehlerhafter Authentifizierung

Angreifer durchsuchen Systeme auf Schwachstellen und wenden verschiedene Taktiken an, um sich Zugriff zu verschaffen. Eine der gängigsten Methoden ist Brute-Force, d. h. die Verwendung von computergenerierten Passwörtern, die die Zugangsdaten von Benutzern in großem Umfang zu erraten. Trotz jahrelanger Warnungen verwenden viele Benutzer immer noch schwache Passwörter oder Systeme verwalten unverschlüsselte Passwörter.

Zu den weiteren Angriffen gehören:

  • Hijacking von Sitzungen: Angreifer fangen Sitzungstoken/Cookies von Benutzern ab.
  • Fixieren von Sitzungen: Angreifer setzen das Sitzungstoken oder Cookie eines Benutzers auf einen bekannten Wert und zwingen den Benutzer dann, sich über dieses Token oder Cookie anzumelden, wodurch die Angreifer die Sitzung kapern können.
  • Passwort-Spraying: Angreifer „versprühen“ (aus dem Englischen „spray“) häufig verwendete Passwörter über Benutzerkonten hinweg, um einen Bedrohungsvektor zu finden.
  • Credential Stuffing: Angreifer verwenden gestohlene Passwörter aus einer Anwendung, um sich unbefugten Zugriff auf Systeme zu verschaffen, auf denen Benutzer Zugangsdaten wiederverwendet haben.
  • URL-Manipulation: Angreifer manipulieren URLs, um die Authentifizierung zu umgehen, indem sie gängige Formatierungen in URLs ausnutzen.

Beispiele aus der Praxis

Solche Angriffe auf die Authentifizierung wurden bei einer Reihe von öffentlichkeitswirksamen Vorfällen eingesetzt, wie z. B. bei einem Angriff auf die Hotelkette Marriott. Die gestohlenen Zugangsdaten von zwei Mitarbeitern wurden verwendet, um auf die Informationen von über 5,2 Millionen Gästen zuzugreifen.

Ähnliche Angriffe wurden 2023 gegen Yum Brands (Taco Bell, KFC), Chick-fil-ANorton LifeLockT-Mobile und Mailchimp durchgeführt.

Erkennung von Schwachstellen durch defekte Authentifizierungen

Das Aufspüren von Schwachstellen in der Authentifizierung erfordert eine umfassende Sicherheitsüberprüfung der Authentifizierungsmechanismen, einschließlich Benutzerauthentifizierung, Passwortverwaltung, Sitzungsverwaltung und Zugriffskontrolle. 

Automatisierte Schwachstellen-Scanner können dabei helfen, häufige API-Sicherheitsbedrohungen zu identifizieren. Manuelle Tests können ebenfalls eingesetzt werden, um Schwachstellen bei defekter Authentifizierung zu identifizieren.

Verhinderung von Schwachstellen durch defekte Authentifizierungen

Software-Ingenieure und Sicherheitsteams können dazu beitragen, Schwachstellen bei der Authentifizierung zu verhindern, indem sie mehrere einfache Strategien anwenden. Jeder Schritt allein verhindert zwar keine Angriffe auf den API-Pfad, aber ein mehrstufiger Ansatz hilft bei der Risikominderung.

Mehrstufige Authentifizierung einsetzen

Einmalige Passwörter (One-Time Passwords, OTP), die per E-Mail oder SMS an Benutzer gesendet werden, Passcodes für die mehrstufige Authentifizierung (MFA) und andere zusätzliche Validierungsmaßnahmen können dazu beitragen, Brute-Force-Angriffe und Credential Stuffing zu verhindern.

Starke Passwörter fordern

Zwingen Sie Benutzer, komplexere Passwörter zu verwenden, indem Sie Kombinationen aus Groß- und Kleinbuchstaben, alphanumerischen Symbolen und Sonderzeichen verwenden. Administratoren sollten auch die in NIST 800-63B festgelegten Richtlinien für Zugangsdaten befolgen.

Ratenbegrenzung durchsetzen

Systemadministratoren sollten die Anzahl fehlgeschlagener Anmeldeversuche begrenzen, um Brute-Force-Angriffe oder Credential Stuffing zu verhindern. Die Ratenbegrenzung kann auch eine abschreckende Wirkung auf Denial-of-Service-Angriffe haben. Es sollte auch ein automatisches Warnsystem für wiederholte fehlgeschlagene Anmeldeversuche geben, um potenzielle Bedrohungen für eine weitere Untersuchung aufzudecken.

Anmeldeformulare müssen einheitliche Antworten senden

Enumerationsangriffe auf Konten können auftreten, wenn Angreifer mehrere Anfragen mit unterschiedlichen Benutzernamen und Passwörtern senden. Wenn das System mit unterschiedlichen Fehlermeldungen für gültige und ungültige Kombinationen antwortet, können Angreifer feststellen, welche Benutzer im System registriert sind, was zu Brute-Force- oder Phishing-Angriffen führt.

Zufällige Sitzungs-IDs erzeugen

Das Generieren zufälliger Sitzungs-IDs, sobald sich Benutzer anmelden, kann Angreifern die Vorhersage erschweren. Zufällige IDs stellen sicher, dass jede Sitzung eine eindeutige ID hat und nur für einen begrenzten Zeitraum gültig ist. Alle Sitzungs-IDs sollten bei der Abmeldung ablaufen. Dies kann dazu beitragen, Fixierungsangriffe von Sitzungen zu mindern, indem schwache oder vorhersehbare Token eliminiert werden.

API-Gateways oder Reverse-Proxy verwenden

Microservices, die den Zugriff auf APIs ohne zusätzliche Authentifizierung ermöglichen, können die Angriffsfläche deutlich erhöhen. Die Verwendung eines API-Gateways oder Reverse-Proxys erstellt einen einzigen Einstiegspunkt für alle eingehenden Anfragen, wobei Authentifizierungs- und Autorisierungsrichtlinien für alle API-Anfragen vorgeschrieben sind.

Ein umfassender API-Sicherheitsplan

Als Teil eines umfassenden Sicherheitsplans sollten IT-Teams auch eine End-zu-End-Verschlüsselung für alle übertragenen Daten, API-Endpunktschutz, Hashing von Passwörtern und regelmäßige Tests auf Schwachstellen einsetzen.

Schützen Sie alle Ihre Web-Apps und API mit einer umfassenden Plattform
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.