Що таке зловживання API?

За матеріалами radware.com

Що таке API?

API (Application Programming Interface — інтерфейс прикладного програмування) допомагає об'єднати кілька застосунків або програмних систем на різних пристроях, визначає типи викликів або запитів, які вони можуть здійснювати, формати даних, які слід використовувати, а також домовленості, яких слід дотримуватися. API розвинулися і перетворилися на важливі інтерфейси, які забезпечують зв'язок між різними архітектурами застосунків, сприяючи швидшій інтеграції та розгортанню нових сервісів.

На них також покладаються при розробці програмного забезпечення для надання послуг, управління платформами та безперервного розгортання. Сучасні архітектури застосунків, що включають мобільні пристрої, хмарні системи обробки даних і мікросервісні патерни, вимагають використання кількох API як шлюзів, що полегшують взаємодію між різними вебзастосунками.

Що таке зловживання API?

Зловмисники переробляють мобільні та вебзастосунки, щоб перехоплювати виклики API, і програмують боти для вторгнення у ваші робочі API. Вони використовують API для захоплення облікових записів, вилучення критично важливих для бізнесу даних і проведення розподілених атак на відмову в обслуговуванні (DDoS-атак). Боти завантажують сервер API небажаними запитами. Для онлайн-бізнесу дуже важливо точно розрізняти хороші та погані виклики API.

Типи атак на API

Кіберзлочинці та недобросовісні особи використовують вразливості в API для викрадання персональних і критично важливих для бізнесу даних, здійснення атак на акаунти та систематичного сканування вмісту вебсайтів. Нижче — основні API-атаки, які здійснюють боти:

1. Розподілена відмова в обслуговуванні застосунків (DDoS). API можуть бути атаковані хакерами та кіберзлочинцями, які навмисно перевантажують інтерфейс прикладного програмування великими обсягами бот-трафіку з різних пристроїв та IP-адрес. У корпоративному секторі це загрожує сервісам, які є критично важливими для бізнесу, таким як служби входу в систему, управління сеансами та іншим, що забезпечують безперебійну роботу застосунків і їхню доступність користувачам.
   
   Зловмисники, які проводять DDoS-кампанії, часто використовують асиметричні методи, за допомогою яких надсилають невеликі обсяги даних для генерації викликів API, — це зазвичай призводить до значного перевантаження серверів, оскільки їм доводиться відповідати на такі виклики API помітно більшими обсягами даних. Такі атаки серйозно завантажують системні ресурси і значною мірою подовжують час відповіді сервера всім користувачам системи.
   
   
2. Викрадення акаунтів. Хакери розгортають ботнети для здійснення атак на акаунти, програмно надсилаючи виклики API для перевірки списків викрадених комбінацій імен користувачів і паролів. Хоча системи управління API не приймають неправильні спроби входу, та вони зазвичай не спроможні зупинити велику кількість ботів, що походять з різних IP-адрес і випробовують різні комбінації облікових даних, сподіваючись знайти правильні дані для входу. Відомо, що досвідчені хакери обмежують швидкість, із якою їхні боти роблять запити до API, щоб звичайні системи безпеки не могли їх виявити.
   
   
3. Вебскрейпінг. Конкуренти, шахраї та «нічні» оператори, які створюють вебресурси для обману споживачів, часто копіюють весь контент вебсайту, проводячи систематичні кампанії з вебскрейпінгу. До того ж вони використовують боти для вилучення даних з API. Хакери також намагаються здійснити реверс-інжиніринг веб- і мобільних застосунків, щоб перехоплювати виклики API та здійснювати скрейпінг-атаки.

Як запобігти зловживанню API

Найкращі практики для захисту API від зловживань:

• відстежуйте виклики API, що надходять від ботів, і керуйте ними,
• припиніть використовувати застарілі та небезпечні методи автентифікації,
• вживайте заходів, щоб запобігти доступу до API складних людиноподібних ботів,
• використовуйте надійне шифрування для захисту процесів входу в систему,
• впроваджуйте ліміт швидкості на основі токенів із функціями для обмеження доступу до API на основі кількості IP-адрес, сеансів і токенів,
• виконуйте повноцінне журналювання всіх запитів до системи та відповідей на них,
• перевіряйте вхідні запити на наявність зловмисних намірів,
• підтримуйте кластерну реалізацію API для забезпечення відмовостійкості,
• відстежуйте використання та шляхи викликів API для виявлення аномалій.

Провідні аналітичні організації рекомендують підприємствам впроваджувати ефективні заходи безпеки API. Рішення для боротьби з ботами для API від Radware Bot Manager гарантує, що ваш критичний бізнес і дані клієнтів будуть захищені від автоматизованих атак.

Підбір, придбання чи консультації щодо рішень Radware: (044) 538–00–06, radware@megatrade.ua

Докладніше про Radware — виробника рішень із запобігання DDos-атакам, для хмарної безпеки та балансування мережевого трафіку

Що таке спам через вебформи?

Що таке ціновий скрейпінг?

Підробка файлів cookie на стороні клієнта

Типи ботів: поглиблений посібник від Radware

Шахрайство із захопленням акаунтів

Bot manager. Захист від ботів у режимі реального часу, посилений штучним інтелектом

Аналізатор шкідливих ботів від Radware

Сканер вразливостей для шкідливих ботів