Неочевидные уязвимости информационной безопасности в архитектурных решениях REST API
Cyber Security
Угрозы информационной безопасности в процессе обмена данными через API могут возникать не только из-за того, что хакер нашел в конечных точках путь до админки и угадал неприступный admin-admin, чтобы выгрузить все продовые витрины. Повсеместно сталкиваемся с примерами, когда на backend коммуникация к СУБД возвращает пользователю лишние поля, не нужные продукту, но и выглядящие безобидно. Пока для них не настроить сбор на масштабе.
Расскажем, как использование обычных авто-инкрементных идентификаторов из таблиц равносильно тому, чтобы показывать пользователю в истории чужие транзакции кроме его собственных. И как даже замена на uuid может не решить проблему из-за возможности брутфорса некоторых шаблонов их слуйчаной генерации. Поделимся опытом взаимодействия со спуфингом ip-адресов как метода маскировки масштабной выгрузки данных через обычные “ручки” API, и ответим на вопрос, почему даже в самой свежей системе информационной безопасности токены авторизации обязательно должны “протухать“
Расскажем, как использование обычных авто-инкрементных идентификаторов из таблиц равносильно тому, чтобы показывать пользователю в истории чужие транзакции кроме его собственных. И как даже замена на uuid может не решить проблему из-за возможности брутфорса некоторых шаблонов их слуйчаной генерации. Поделимся опытом взаимодействия со спуфингом ip-адресов как метода маскировки масштабной выгрузки данных через обычные “ручки” API, и ответим на вопрос, почему даже в самой свежей системе информационной безопасности токены авторизации обязательно должны “протухать“
О СПИКЕРЕ
Отвечаю за проекты анализа рынка фудтеха с широким опытом от дата инжиниринга и разработки ETL-систем до оценки безопасности архитектурных решений на рынке. Строю модели оценки операционных показателей конкурентов для реализации в A/B тестах
SENIOR
Иван Мочалов
Яндекс, Москва
Аналитик-разработчик
Аналитик-разработчик