Barracuda full logo

Die 10 wichtigsten API-Sicherheitsrisiken von OWASP: Uneingeschränkter Zugriff auf sensible Geschäftsabläufe

Themen:
10. Juli. 2023
|
Paul Dughi

Unbeschränkter Zugang zu sensiblen Geschäftsabläufen steht auf Platz sechs der Open Worldwide Application Security Project® (OWASP) Top 10 API Security Risks für 2023.

Uneingeschränkter Zugriff auf sensible Geschäftsabläufe entsteht, wenn API-Endpunkte die Funktionalität bei übermäßiger Nutzung nicht einschränken und Lücken in der Geschäftslogik ausnutzen.

Angriffsvektoren

Typische Angriffsvektoren entstehen, wenn Bedrohungsakteure lernen, wie APIs Geschäftsabläufe handhaben. Die API verwendet Automatisierung und nutzt die Schwachstelle aus, um dem Geschäft zu schaden. Leider lässt sich der uneingeschränkte Zugriff auf sensiblen Geschäftsabläufe relativ leicht ausnutzen.

Security-Schwächen

Security-Schwächen sind weit verbreitet, vor allem, wenn Entwickler die Auswirkungen einer übermäßigen Nachfrage nicht vorgesehen haben. Entwickler, die keine ganzheitliche Sicht auf die API haben, um Geschäftsanforderungen zu unterstützen und die potenziellen Angriffsvektoren zu erkennen, sind besonders gefährdet.

Angreifer identifizieren, welche Endpunkte an Workflows beteiligt sind und wie sie zusammenarbeiten (oder nicht zusammenarbeiten), um Security-Lücken zu finden.

Geschäftliche Auswirkungen

Die Auswirkungen auf Unternehmen können unterschiedlich sein, beispielsweise indem legitime Benutzer daran gehindert werden, das System zu nutzen oder einen Kauf abzuschließen. Ein Angreifer könnte zum Beispiel alle verfügbaren Zeitfenster reservieren und so verhindern, dass andere Benutzer Zugriff auf das System erhalten oder er könnte alle Tickets für eine Aufführung aufkaufen und sie zu einem höheren Preis weiterverkaufen.

OWASP bewertet die Auswirkungen auf das Geschäft zwar als moderat, aber für einige Unternehmen können sie erheblich sein.

So funktioniert der uneingeschränkte Zugriff auf sensible Geschäftsabläufe

Angreifer untersuchen die Geschäftslogik hinter den APIs, um sensible Abläufe zu finden, und automatisieren dann Aufrufe, um die Schwäche auszunutzen. Ohne die Anzahl von zulässigen Aufrufen sensibler Geschäftsabläufe einzuschränken oder ohne Autorisierung-Regeln, um zu verhindern, dass Benutzer innerhalb kurzer Zeit zu viele Ressourcen nutzen, sind Angriffe schwer zu erkennen. Jede einzelne Anfrage kann eine legitime Anfrage sein, die vom System zugelassen wird. Der Ärger beginnt erst, wenn Anfragen in großem Umfang gestellt werden. Insofern kann es schwierig sein, sie zu erkennen, ohne API-Anfragen als Ganzes zu betrachten.

Der uneingeschränkte Zugriff auf sensible Geschäftsabläufe kann zu Folgendem führen:

  • Die Automatisierung überfordert die Systemressourcen und beeinträchtigt die Leistung
  • Überlastung der API-Infrastruktur mit Anfragen, die zu Denial of Service (DoS) führen
  • Systemüberforderung, Erlauben unbeabsichtigter Aktionen
  • Unbefugter Zugriff auf sensible Daten oder Benutzerkonten

Beispiele aus der Praxis

OWASP bietet mehrere Beispiele dafür, wie Angreifer die Geschäftslogik ausnutzen können:

  • Eine Mitfahr-App, die Gutschriften für Empfehlungen anbietet. Ein Angreifer schreibt ein Skript zur Automatisierung des Registrierungsprozesses und fügt fiktive Benutzer hinzu, wodurch dem Konto des Angreifers Gutschriften hinzugefügt werden.
  • Ein Angreifer bucht 90 % der Sitzplätze bei einer Fluggesellschaft, die keine Stornierungsgebühren erhebt und storniert sie dann alle kurz vor Abflug.
  • Ein Unternehmen bietet eine begrenzte Anzahl von Artikeln zum Verkauf an, die sehr gefragt sind. Angreifer nutzen Automatisierung und kaufen den Großteil der Artikel auf, verweigern anderen den Zugriff und verkaufen dann mit Gewinn weiter.

Die Federal Trade Commission (FTC) verhängte gegen drei Personen eine Geldstrafe in Höhe von 3,7 Millionen USD, weil sie automatisierte Bots eingesetzt hatten, um Tausende von Konzert- und Veranstaltungskarten erst zu kaufen und dann weiterzuverkaufen. Obwohl „Digitaler Weiterverkauf“ in den USA nach dem BOTS Act illegal ist, ist die Praxis immer noch recht verbreitet. Viele Fans, die versuchten, Tickets für Taylor Swifts letzte Konzerttournee zu kaufen, waren gezwungen, Tickets auf dem Wiederverkaufsmarkt zu überhöhten Preisen zu kaufen, da es sich laut Ticketmaster um einen Bot-Angriff handelte, der die Website zum Absturz gebracht und eine große Menge an Tickets aufgekauft hatte.

Sogar das Cybersecurity-Unternehmen Symantec wurde Opfer eines Verstoßes gegen den uneingeschränkten Zugriff auf sensible Geschäftsabläufe. Angreifer nutzten die Zugriffskontrolle in der Geschäftslogik eines Wiederverkäufers aus, um private Schlüssel offenzulegen, was dazu führte, dass mehr als 20.000 SSL-Zertifikate widerrufen wurden.

Erkennung des uneingeschränkten Zugriffs auf Schwachstellen in sensiblen Geschäftsabläufen

Logikfehler sind häufig unsichtbar, wenn man nicht gezielt nach ihnen sucht. Legitimer Datenverkehr muss zulässig sein, aber Angreifer finden Wege, APIs zu nutzen, die nicht vorgesehen waren.

Eine ständige Überwachung des API-Zugriffs mit Kennzeichnungen von verdächtiger Nutzung kann helfen, übermäßige API-Aufrufe zu erkennen. Zum Beispiel das Kennzeichnen von nicht-menschlichen Mustern, wie Wiederholungskäufe, Aktionen innerhalb von Sekunden oder der Verbrauch einer großen Anzahl von Ressourcen innerhalb eines kurzen Zeitraums.

Verhindern des uneingeschränkten Zugriffs auf Schwachstellen in sensiblen Geschäftsabläufen

Logikfehler in Geschäftsabläufen treten meistens auf, weil Entwickler zwar darüber nachdenken, wie autorisierte Benutzer mit einer Anwendung interagieren werden, aber Bedrohungsakteure außer Acht lassen. Wenn jemand von dem erwarteten Verhalten abweicht, verhindert die Anwendung es nicht. Solche Fehler sind in komplexen Systemen üblich und werden oft erst im Nachhinein entdeckt.

Erschwerend kommt hinzu, dass einige Code-Komponenten möglicherweise die Domäne von Spezialisten sind oder der Code im Laufe der Zeit von verschiedenen Entwicklungsteams entwickelt wurde. Jemand, der nur in einem Bereich einer Anwendung arbeitet, könnte irrtümlich von einer Annahme ausgehen, wie ein anderer Bereich funktioniert.

Daher ist ein ganzheitlichen Ansatz erforderlich, um den uneingeschränkten Zugang zu sensiblen Geschäftsabläufen zu verhindern. Prävention erfordert regelmäßige Codeüberprüfungen, die sich auf API-Zugriffskontrollen und Einschränkungen für übermäßige Nutzung konzentrieren. Entwickler müssen wie ein Angreifer denken und die Möglichkeiten, wie sie Systeme ausnutzen können, indem sie innerhalb eines bestimmten Zeitraums zu viele Ressourcen erstellen.

Um sensible Geschäftsabläufe zu schützen, müssen Sie verschiedene Szenarien testen. Weitere Strategien sind:

  • Erneute Authentifizierung für jeden API-Aufruf
  • Einsatz von Multifaktor-Authentifizierung (MFA), Captcha oder biometrischer Identifizierung
  • Blockierung von IP-Adressen, die mit Tor-Ausgangsknoten und Proxys verknüpft sind
  • Ablehnen des Zugriffs auf unerwartete Client-Geräte mit Gerätefingerabdruck
  • Beschränkung oder Begrenzung wiederkehrender Aktivitäten für sensible Geschäftsabläufe

Schließlich sollten Sie den API-Zugang durch Maschinen sichern und einschränken, wie beispielsweise B2B-APIs, die häufig keinen wirksamen Schutz bieten.

On-Demand-Webinar: Die Top 10 der OWASP-API-Sicherheit – Was sich ändert und welche Auswirkungen dies auf Sie hat
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.