چگونه از سوءاستفاده از منطق کسبوکار (Business Logic Abuse) در API جلوگیری کنیم؟
ریسک جدید OWASP
لیست امنیتی OWASP ده تهدید امنیتی جدید برای APIها معرفی کرده است. یکی از افزودنیهای جدید، API6 دسترسی نامحدود به جریانهای حساس کسبوکار، روند نگرانکنندهای از سوءاستفاده از عملکردهای کسبوکار API را نشان میدهد.
سوءاستفاده از منطق کسبوکار میتواند شرکتها را در معرض اشتباهات بسیار پرهزینه قرار دهد. OWASP اشاره میکند که سوءاستفاده از منطق کسبوکار بسیار آسان است، فراگیر بوده و تشخیص آن تا حدی دشوار است.
برای اطمینان از امنیت API در برابر این ریسک، چند نکته برای جلوگیری از سوءاستفاده از منطق کسبوکار ارائه شده است. ابتدا باید با مفهوم منطق کسبوکار آشنا شویم.
منطق کسبوکار چیست؟
منطق کسبوکار در زمینه API به معنای تعاملات بین کاربر، کسبوکار و زیرساخت آن است. جریان داده و تعامل با پایگاه داده نمونههایی از منطق کسبوکار هستند.
در APIها، گاهی منطق کسبوکار به عنوان جریانهای کسبوکار یا جریانهای فرآیند نیز نامیده میشود. این نامهای جایگزین، خطراتی که یک فرآیند کسبوکار آسیبپذیر ایجاد میکند را نشان میدهند و همچنین اشارهای به اقدامات پیشگیرانه دارند. بهعنوان مثال، یک نقطه پایانی رزرو بلیط ممکن است یک جریان فرآیند کسبوکار باشد که هر تعامل آن میتواند پایگاه داده را تغییر دهد، پرداخت را از کیف پول کاربر دریافت کند و کپچا برای تأیید انسان ارائه دهد.
نقاط پایانی API که تراکنشهای کسبوکار انجام میدهند، اغلب شامل چندین فرآیند هستند و به همین دلیل به آنها جریان (flow) گفته میشود. برای تضمین امنیت API، باید هر مؤلفه یک جریان کسبوکار و نحوه تعامل آنها را بهخوبی درک کنید.
ریسکهای منطق کسبوکار آسیبپذیر
طبق OWASP، مهاجمان معمولاً با شناسایی APIهایی که فرآیندهای کسبوکار را مدیریت میکنند، شروع میکنند و سپس اتوماسیونهایی برای سوءاستفاده از آسیبپذیریها ایجاد میکنند. بسته به فرآیند مورد هدف، سازمان شما در معرض ریسکهای مختلف قرار میگیرد.
بهعنوان مثال، اگر کالایی پرطرفدار در انبار دارید، مهاجم میتواند از نقطه پایانی منطق کسبوکار برای خرید تمام موجودی بهصورت خودکار استفاده کند و سپس آنها را بازفروش کند. سیستم رزرو هم نمونهای از جریان کسبوکار است که بهراحتی در معرض سوءاستفاده قرار میگیرد.
این سناریوها همچنین نشان میدهند که جریانهای حساس کسبوکار میتوانند به اعتبار شرکت آسیب جدی برسانند. بهعنوان مثال، اگر هتلی همیشه رزرو شده نشان داده شود، مشتریان احتمالی به گزینههای دیگر مراجعه خواهند کرد.
مثالهایی از سوءاستفاده از منطق کسبوکار API
OWASP مثالهای نظری مختلفی ارائه میدهد. یکی از آنها فروش بیشازحد بلیط کنسرت است. مثال دیگر شامل خرید تمام بلیطهای پرواز بدون هزینه کنسلی است که مهاجم آنها را با تخفیف دوباره میفروشد.
مثال سوم، برنامههای اشتراکگذاری سواری است که به کاربران برای معرفی افراد جدید اعتبار میدهد. مهاجم میتواند اسکریپتی بنویسد که هر کاربر جدید ثبتشده را به حساب خودش اعتبار دهد و از این طریق سفرهای رایگان نامحدود انجام دهد یا حساب خود را بفروشد.
چگونه از سوءاستفاده از منطق کسبوکار API جلوگیری کنیم
OWASP توصیه میکند جریان منطق کسبوکار API را به دو بخش تقسیم کنید: بخش کسبوکار و بخش مهندسی.
در بخش کسبوکار، هر مؤلفهای که میتواند عملکرد کسبوکار انجام دهد شناسایی شود. برای مثال، میتوانید محدودیتهایی اعمال کنید تا اگر کاربری بیش از پنج تراکنش انجام داد، خطا برگردد.
بخش مهندسی به جنبههای عملی جلوگیری از سوءاستفاده میپردازد. برخی از اقدامات توصیهشده عبارتند از:
-
افزودن کپچا برای جلوگیری از حملات خودکار.
-
استفاده از تحلیل بیومتریک پیشرفته برای تشخیص رفتار انسانی.
-
نظارت بر زمانبندی غیرعادی تراکنشها و مسدود کردن IPهای مشکوک.
-
اعتبارسنجی تمام ورودیهای کاربر و ثبت و پایش دادهها.
اکثر خطاهای منطق کسبوکار ناشی از طراحی ضعیف و کدنویسی نامرتب هستند. مستندسازی فرآیندها و جریانهای داده، محدود کردن دسترسی کاربران و پیروی از اصل حداقل امتیاز (PLOP) میتواند از دسترسی نادرست و آسیبپذیری جلوگیری کند.
نتیجهگیری درباره جلوگیری از خطاهای منطق کسبوکار API
امنیت API میتواند نقطه ضعف شبکه امنیت سایبری سازمان باشد. حتی توسعهدهندگان باتجربه گاهی آسیبپذیریها را نادیده میگیرند. تنها یک نقص منطق کسبوکار میتواند خسارت زیادی به سازمان وارد کند. خوشبختانه، با شناسایی مؤلفههای حساس و پیروی از اقدامات پیشگیرانه، میتوان جریانهای کسبوکار را بهطور مؤثر ایمن کرد.
اشتراک این مقاله
پستهای مرتبط
موارد استفاده API بینش هویتی (Identity Insights) برای پیشگیری از تقلب چیست؟
چگونه میتوان پیشگیری از تقلب را با استفاده از مسیرهای مشتری در هویت موبایلی شخصیسازی کرد؟
دیدگاهها (0)
برای ثبت دیدگاه لطفاً وارد شوید.
ورودهنوز دیدگاهی ثبت نشده است. اولین نفر باشید!