Un outil conçu pour imiter les vulnérabilités du Top 10 de l’API OWASP et permettre d’observer leur comportement a été mis à la disposition de la communauté open source.

vAPI, également connue sous le nom d' »interface vulnérable à programmation indésirable », est une plate-forme d’exercices et de tests de vulnérabilité conçue pour aider les utilisateurs à en savoir plus sur la sécurité des API.

La sécurité des API est devenue un domaine critique de la sécurité ces dernières années. Les API sont désormais largement utilisées pour gérer les services et les transferts de données, et il suffit d’un point de terminaison défectueux pour provoquer des violations de données ou des compromis sur le réseau de l’entreprise.

Gartner a prédit que cette année, les attaques d’API deviendront le vecteur d’attaque le plus courant pour les applications Web d’entreprise.

API vulnérables

Développé par Tushar Kulkarniingénieur en sécurité chez Holm Security, vAPI est une interface open source basée sur PHP, disponible sur GitHubqui peut être exploité comme une API auto-hébergée via PHP, MySQL et PostMan, ou exécuté comme une image Docker.

Lors de la présentation de la plate-forme à Black Hat Europe 2021 Arsenal, Kulkarni a déclaré que vAPI pourrait être utile aux nouveaux testeurs de pénétration pour les acclimater à la façon dont les différents bogues d’API sont classés, et pour les développeurs, car la plate-forme leur permet de voir des exemples de code vulnérable – comme ainsi que d’envisager des mesures d’atténuation potentielles.

EN RELATION L’OWASP révèle les 10 principales menaces de sécurité auxquelles est confronté l’écosystème des API

La pile technologique de la plate-forme est basée sur le framework PHP Laravel et MySQL. La collection Postman et l’environnement sont utilisés pour stocker les appels d’API, bien que cela soit éventuellement dû à la migration vers une OpenAPI.

Pour les tests, un proxy manipulateur-in-the-middle (MitM), tel que Burp Suite ou ZAP, peut être utilisé, bien que cela ne soit pas considéré comme strictement nécessaire par le développeur.

« Certaines vulnérabilités de l’API, [such as] credential stuffing, peut vous obliger à exécuter en tant qu’intrus ou un script ZAP pour résoudre le problème, ces outils peuvent donc être utiles », a noté Kulkarni.

Top 10 des API OWASP

Reflétant l’importance croissante de la sécurité des API, la fondation Open Web Application Security Project (OWASP) a élaboré en 2019 sa première liste du Top 10 de la sécurité des API, qui documente les causes les plus courantes d’incidents de sécurité liés aux API.

À l’heure actuelle, vAPI est basé sur les catégorisations d’API utilisées dans le Top 10 de la sécurité des API OWASP.

OWASP liste 2019 documente les causes suivantes :

  • API1:2019 Autorisation au niveau de l’objet interrompue : points de terminaison exposés qui gèrent les identifiants d’objet
  • API2:2019 Authentification utilisateur interrompue : échec de la gestion correcte de l’authentification
  • API3:2019 Exposition excessive des données : inclut les expositions des propriétés des objets
  • API4:2019 Manque de ressources et limitation du débit : Aucune limite imposée sur la taille ou le nombre de ressources, ce qui peut dégrader les performances et ouvrir la voie à des attaques par force brute
  • API5:2019 Autorisation de niveau de fonction interrompue : mauvaise gestion des contrôles d’accès
  • API6:2019 Affectation en masse : filtrer les échecs, permettant la modification d’objets malveillants
  • API7:2019 Mauvaise configuration de la sécurité : configurations par défaut, erreurs et partage de ressources inter-origine permissif
  • API8:2019 Injection : y compris les failles SQL, NoSQL et d’injection de commandes
  • API9:2019 Mauvaise gestion des actifs
  • API10:2019 Journalisation et surveillance insuffisantes

La plateforme est maintenant publique et disponible gratuitement. La feuille de route vAPI comprend la création d’un tableau de bord pour surveiller la progression des utilisateurs dans les défis de l’API, et à long terme, Kulkarni aimerait voir la plate-forme devenir un « terrain de jeu open source » permettant aux utilisateurs de soumettre leurs propres défis et scénarios de sécurité de l’API.