As Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que
demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente
utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente
empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade,
no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas
principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito
de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object
Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi
elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade
de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso
não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de
tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação
de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações
da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações
vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques.
|
