Compañía de gestión de superficie de ataque Intruder Solutions Ltd. Hoy anunció el lanzamiento de AutoSwagger, una herramienta gratuita y de código abierto que escanea interfaces de programación de aplicaciones documentadas por OpenAPI para vulnerabilidades de autorización rota.
AutoSwagger detecta automáticamente las debilidades de autorización en API y descubre puntos finales confidenciales que no requieren autenticación donde la aplicación no verifica un token API válido.
La nueva herramienta busca abordar el creciente problema de las violaciones de datos relacionadas con la API, que según un informe De Verizon Communications Inc., aumentan casi un 40% año tras año. Aunque existen herramientas existentes que escanean API, Intruder argumenta que las opciones para detectar la autorización rota son costosas, ineficientes o requieren mano de obra guide de los probadores de penetración para descubrir. AutoSWGGER, por otro lado, es la primera herramienta disponible gratuitamente que se demuestra que es efectiva para detectar vulnerabilidades de API peligrosas, cube la compañía.
“Estas vulnerabilidades son tan fáciles de explotar que podría enseñarle a alguien sin antecedentes técnicos sobre cómo hacerlo en un día”, dijo el fundador y director ejecutivo Chris Wallis. “Cuando considera cuán comunes son estos problemas y con qué frecuencia las empresas lanzan un nuevo código o exponen nuevos puntos finales, está claro que esta es una brecha crítica. Es por eso que estamos haciendo que AutoSwagger esté disponible de forma gratuita, para ayudar a los equipos a encontrar y arreglar estos defectos antes que los atacantes”.
Aunque solo se lanza hoy, la herramienta ya se ha encontrado que es efectiva. Durante la investigación y las pruebas de Intruder de AutoSwagger, el equipo de seguridad de la compañía detectó registros expuestos de Salesforce Inc. con información de identificación private en una gran empresa de tecnología multinacional y una aplicación de capacitación de private interno expuesto. Eso habría permitido a los posibles atacantes ejecutar consultas contra la base de datos en una compañía de refrescos multinacional.
Los datos podrían haberse utilizado para montar una campaña de phishing contra los empleados, con información actual que podría ganar la confianza del miembro del private. La mayoría de las vulnerabilidades descubiertas durante el proceso de investigación fueron para API destinadas al uso interno.
AutoSwagger funciona identificando esquemas API en varios formatos y ubicaciones, utilizando una lista de los dominios de una organización como punto de partida. La herramienta busca páginas de documentación de OpenApi y Swagger, enviando solicitudes a cada host para ubicar las especificaciones de API válidas. Una vez que se encuentra un esquema, AutoSwagger analiza la documentación para generar una lista completa de puntos finales para las pruebas, factorización en las definiciones de punto remaining, parámetros requeridos y tipos de datos esperados.
Luego, la herramienta realiza escaneos específicos para detectar vulnerabilidades de autorización rotas antes de enviar solicitudes a cada punto remaining utilizando parámetros válidos derivados de la documentación y señala cualquier punto remaining que devuelva una respuesta exitosa en lugar de los errores HTTP 401 o 403 esperados, lo que indicaría el management de acceso adecuado. AutoSwagger también destaca los puntos finales donde la autenticación es faltante o ineficaz, lo que ayuda a los equipos a identificar y arreglar fallas de management de acceso crítico.
La herramienta analiza cualquier respuesta exitosa para obtener signos de datos confidenciales expuestos, como información, credenciales o registros internos de identificación private. Cualquier punto remaining que falte la autenticación adecuada y la información confidencial de devolución se incluye en el informe de salida.
“Exponer la documentación para su API aumenta efectivamente la superficie de su ataque y como una medida de defensa en profundidad, no debe exponer la documentación de la API a menos que sea un requisito comercial”, dijo Dan Andrew, jefe de seguridad de Intruder. “La lección aquí es, además del escaneo de API common después de cada iteración de desarrollo, que no debe documentar públicamente sus API a menos que no pueda evitarlo. Sin un ‘mapa’, este tipo de vulnerabilidad se vuelve mucho más difícil para los atacantes explotar”.
Imagen: Siliconangle/Reve
Apoye nuestro contenido gratuito abierto compartiendo e interactuando con nuestro contenido y comunidad.
Únete a Thecube Alumni Belief Community
Donde los líderes tecnológicos se conectan, comparten inteligencia y crean oportunidades
11.4k+
Purple de ex alumnos de cubos
Nivel C y técnico
Expertos en dominio
Conéctese con 11,413+ líderes de la industria de nuestra crimson de líderes tecnológicos y empresariales que forman un efecto de crimson confiable único.
Siliconangle Media es un líder reconocido en innovación de medios digitales que sirve al público innovador y marcas, que reúne tecnología de vanguardia, contenido influyente, concepts estratégicas y compromiso de audiencia en tiempo actual. Como la empresa matriz de Silicio, red de thecube, Investigación de THECUBE, Cube365, THECUBE AI y los superstudios de TheCube, como los establecidos en Silicon Valley y la Bolsa de Nueva York (NYSE) – Siliconangle Media opera en la intersección de medios, tecnología e IA. .
Fundada por los visionarios tecnológicos John Furrier y Dave Vellante, Siliconangle Media ha construido un poderoso ecosistema de marcas de medios digitales líderes en la industria, con un alcance de más de 15 millones de profesionales de la tecnología de élite. La nueva nube de video de AI de AI de la compañía, está abriéndose en la interacción de la audiencia, aprovechando la crimson neuronal de thecubeai.com para ayudar a las empresas de tecnología a tomar decisiones basadas en datos y mantenerse a la vanguardia de las conversaciones de la industria.
