Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor

???item.export.label???

Please use this identifier to cite or link to this item: https://tede.ufam.edu.br/handle/tede/8741

???metadata.dc.type???:	Dissertação
Title:	Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor
Other Titles:	Detecting Broken Object Level Authorization exploits in REST APIs using Producer-Consumer dependencies
???metadata.dc.creator???:	Loebens, Marcelo de Castro
???metadata.dc.contributor.advisor1???:	Feitosa, Eduardo Luzeiro
???metadata.dc.contributor.referee1???:	Oliveira, Horacio Antonio Braga Fernandes de
???metadata.dc.contributor.referee2???:	Kreutz, Diego Luis
???metadata.dc.description.resumo???:	As Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade, no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques.
Abstract:	Web APIs (Application Programming Interfaces) have become ubiquitous in applications that require some type of communication between client and server, being developed mainly using the REST (Representational State Transfer) style of architecture and widely used in the development of Web and mobile applications. This increase in popularity, however, brought new security challenges, such as the spread of vulnerabilities derived mainly from the absence of state controls on client applications, reflecting the statelessness requirement of REST design. Among these vulnerabilities, the Broken Object Level Authorization (or BOLA), a specific type of access control breach, stands out. It’s listed in the first position of the OWASP API Security Top 10 and it’s considered the most prevalent vulnerability in real-world applications, leading to unauthorized access to sensitive data in successful attacks. This work aims to provide an approach to detect attempts to exploit this vulnerability at runtime, using the identification of producer-consumer relationships between endpoints extracted from API specifications compliant to the standard OpenAPI (OAS). This solution will be evaluated using APIs of applications vulnerable to BOLA, in order to validade its capacity to detect attacks.
Keywords:	Cliente/servidor (Computadores) Aplicações Web Software de aplicação
???metadata.dc.subject.cnpq???:	CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
???metadata.dc.subject.user???:	API - Application Programming Interfaces BOLA - Broken Object Level Authorization Detecção OpenAPI Vulnerabilidade
Language:	por
???metadata.dc.publisher.country???:	Brasil
Publisher:	Universidade Federal do Amazonas
???metadata.dc.publisher.initials???:	UFAM
???metadata.dc.publisher.department???:	Instituto de Computação
???metadata.dc.publisher.program???:	Programa de Pós-graduação em Informática
Citation:	LOEBENS, Marcelo de Castro. Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor. 2022. 54 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas (AM), 2022.
???metadata.dc.rights???:	Acesso Aberto
URI:	https://tede.ufam.edu.br/handle/tede/8741
Issue Date:	25-Feb-2022
Appears in Collections:	Mestrado em Informática

Files in This Item:

File	Description	Size	Format
Dissertação_MarceloLoebens_PPGI.pdf		3.71 MB	Adobe PDF	Download/Open Preview ×

Show full item record Recommend this item

Universidade Federal do Amazonas