Dissertação

Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor

As Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvo...

ver descrição completa

Autor principal: Loebens, Marcelo de Castro
Outros Autores: http://lattes.cnpq.br/8566448745754906
Grau: Dissertação
Idioma: por
Publicado em: Universidade Federal do Amazonas 2022
Assuntos:
Cliente/servidor (Computadores)
Aplicações Web
Software de aplicação
CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
API - Application Programming Interfaces
BOLA - Broken Object Level Authorization
OpenAPI
Detecção
Vulnerabilidade
Acesso em linha: https://tede.ufam.edu.br/handle/tede/8741
id oai:https:--tede.ufam.edu.br-handle-:tede-8741
recordtype dspace
spelling oai:https:--tede.ufam.edu.br-handle-:tede-87412022-03-10T05:03:30Z Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor Detecting Broken Object Level Authorization exploits in REST APIs using Producer-Consumer dependencies Loebens, Marcelo de Castro Feitosa, Eduardo Luzeiro http://lattes.cnpq.br/8566448745754906 http://lattes.cnpq.br/5939944067207881 Oliveira, Horacio Antonio Braga Fernandes de http://lattes.cnpq.br/9314744999783676 Kreutz, Diego Luis http://lattes.cnpq.br/2781747995973774 Cliente/servidor (Computadores) Aplicações Web Software de aplicação CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO API - Application Programming Interfaces BOLA - Broken Object Level Authorization OpenAPI Detecção Vulnerabilidade As Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade, no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques. Web APIs (Application Programming Interfaces) have become ubiquitous in applications that require some type of communication between client and server, being developed mainly using the REST (Representational State Transfer) style of architecture and widely used in the development of Web and mobile applications. This increase in popularity, however, brought new security challenges, such as the spread of vulnerabilities derived mainly from the absence of state controls on client applications, reflecting the statelessness requirement of REST design. Among these vulnerabilities, the Broken Object Level Authorization (or BOLA), a specific type of access control breach, stands out. It’s listed in the first position of the OWASP API Security Top 10 and it’s considered the most prevalent vulnerability in real-world applications, leading to unauthorized access to sensitive data in successful attacks. This work aims to provide an approach to detect attempts to exploit this vulnerability at runtime, using the identification of producer-consumer relationships between endpoints extracted from API specifications compliant to the standard OpenAPI (OAS). This solution will be evaluated using APIs of applications vulnerable to BOLA, in order to validade its capacity to detect attacks. 2022-03-10T00:19:35Z 2022-02-25 Dissertação LOEBENS, Marcelo de Castro. Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor. 2022. 54 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas (AM), 2022. https://tede.ufam.edu.br/handle/tede/8741 por Acesso Aberto application/pdf Universidade Federal do Amazonas Instituto de Computação Brasil UFAM Programa de Pós-graduação em Informática
institution TEDE - Universidade Federal do Amazonas
collection TEDE-UFAM
language por
topic Cliente/servidor (Computadores)
Aplicações Web
Software de aplicação
CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
API - Application Programming Interfaces
BOLA - Broken Object Level Authorization
OpenAPI
Detecção
Vulnerabilidade
spellingShingle Cliente/servidor (Computadores)
Aplicações Web
Software de aplicação
CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
API - Application Programming Interfaces
BOLA - Broken Object Level Authorization
OpenAPI
Detecção
Vulnerabilidade
Loebens, Marcelo de Castro
Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
topic_facet Cliente/servidor (Computadores)
Aplicações Web
Software de aplicação
CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
API - Application Programming Interfaces
BOLA - Broken Object Level Authorization
OpenAPI
Detecção
Vulnerabilidade
description As Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade, no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques.
author_additional Feitosa, Eduardo Luzeiro
author_additionalStr Feitosa, Eduardo Luzeiro
format Dissertação
author Loebens, Marcelo de Castro
author2 http://lattes.cnpq.br/8566448745754906
author2Str http://lattes.cnpq.br/8566448745754906
title Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
title_short Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
title_full Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
title_fullStr Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
title_full_unstemmed Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
title_sort detectando ataques broken object level authorization em apis rest usando dependência produtor-consumidor
publisher Universidade Federal do Amazonas
publishDate 2022
url https://tede.ufam.edu.br/handle/tede/8741
_version_ 1831970043610529792
score 11.753735

Registros relacionados