Posts

W tym artykule zamierzam przedstawić kolejny mechanizm zabezpieczający żądania API, którego implementacja była znaczącym elementem projektu w świecie rzeczywistym. Omawiany mechanizm wyróżnia się dodatkową warstwą bezpieczeństwa poprzez szyfrowanie treści żądań za pomocą kluczy RSA. Stanowi to dodatkowe zabezpieczenie, które może skutecznie uzupełnić standardowy protokół HTTPS. Ponadto, w późniejszej części artykułu zostaną wprowadzone podpisy przy użyciu kluczy RSA jako wisienka na torcie, zapewniające weryfikację integralności wysyłanych komunikatów. Cała komunikacja będzie również dodatkowo zabezpieczona przed potencjalnymi atakami typu replay.

Podatność wykryta przeze mnie w oprogramowaniu CDeX oferowanym przez firmę o tej samej nazwie. Podatność ta występuje podczas odzyskiwania hasła, gdzie różnica w komunikatach może pozwolić atakującemu na ustalenie, czy użytkownik jest prawidłowy, co umożliwia przeprowadzenie ataku siłowego na prawidłowych użytkownikach.

Podatność wykryta przeze mnie w oprogramowaniu CDeX oferowanym przez firmę o tej samej nazwie. Podatność umożliwia przechwycenie tokenu wykorzystywanego do resetowania hasła dowolnego użytkownika.

W poprzednich artykułach opisałem, jak można wykorzystać oprogramowanie ZAP i Burp do testowania bezpieczeństwa aplikacji internetowych, które implementują walidację podpisu żądania przy użyciu kluczy RSA. Na podstawie zainteresowania tymi artykułami doszedłem do wniosku, że warto również przedstawić przykład implementacji z drugiej strony, a mianowicie jak można to zaimplementować po stronie serwera. W tym artykule pokażę, jak można samodzielnie zaimplementować walidację podpisu żądania przy użyciu kluczy RSA w prosty sposób, używając języka Python i frameworka Flask.

Jeden z członków organizacji OWASP zapytał mnie, czy chciałbym przedstawić metodę testowania API zabezpieczonego kluczami RSA za pomocą ZAP. Początkowo nie byłem pewien, czy sobie poradzę, ponieważ na co dzień używam Burpa, ale jak to często bywa w naszym zawodzie, trzeba ciągle ewoluować i eksplorować nowe możliwości. Dlatego zgodziłem się i w tym artykule opisuję, jak można testować API zabezpieczone mechanizmem podpisywania żądań za pomocą kluczy RSA, tym razem wykorzystując skryptowanie w Zed Attack Proxy (ZAP).

W tym artykule chciałbym opisać mechanizm bezpieczeństwa żądań API, z którym spotkałem się w jednym z moich projektów. Mechanizm ten wykorzystuje klucze RSA do weryfikacji integralności żądań oraz wprowadza dodatkową funkcję zabezpieczającą przed atakami typu replay.

Mój autorski wpis, opublikowany na blogu ZAP, zagłębia się w nowy skrypt w repozytorium community-scripts, który ułatwia podpisywanie wychodzących żądań przy użyciu kluczy RSA. Odpowiada to na wyjątkowe wyzwanie testowania aplikacji wymagających tej konkretnej funkcjonalności. Atykuł w całości napisany po angielsku.