1. TEDE
  2. Unidade Manaus
  3. Programa de Pós-graduação em Informática
  4. Mestrado em Informática
???item.export.label??? ???item.export.type.endnote??? ???item.export.type.bibtex???

Please use this identifier to cite or link to this item: https://tede.ufam.edu.br/handle/tede/8741
Full metadata record
DC FieldValueLanguage
dc.creatorLoebens, Marcelo de Castro-
dc.creator.Latteshttp://lattes.cnpq.br/8566448745754906eng
dc.contributor.advisor1Feitosa, Eduardo Luzeiro-
dc.contributor.advisor1Latteshttp://lattes.cnpq.br/5939944067207881eng
dc.contributor.referee1Oliveira, Horacio Antonio Braga Fernandes de-
dc.contributor.referee1Latteshttp://lattes.cnpq.br/9314744999783676eng
dc.contributor.referee2Kreutz, Diego Luis-
dc.contributor.referee2Latteshttp://lattes.cnpq.br/2781747995973774eng
dc.date.issued2022-02-25-
dc.identifier.citationLOEBENS, Marcelo de Castro. Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor. 2022. 54 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas (AM), 2022.eng
dc.identifier.urihttps://tede.ufam.edu.br/handle/tede/8741-
dc.description.resumoAs Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade, no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques.eng
dc.description.abstractWeb APIs (Application Programming Interfaces) have become ubiquitous in applications that require some type of communication between client and server, being developed mainly using the REST (Representational State Transfer) style of architecture and widely used in the development of Web and mobile applications. This increase in popularity, however, brought new security challenges, such as the spread of vulnerabilities derived mainly from the absence of state controls on client applications, reflecting the statelessness requirement of REST design. Among these vulnerabilities, the Broken Object Level Authorization (or BOLA), a specific type of access control breach, stands out. It’s listed in the first position of the OWASP API Security Top 10 and it’s considered the most prevalent vulnerability in real-world applications, leading to unauthorized access to sensitive data in successful attacks. This work aims to provide an approach to detect attempts to exploit this vulnerability at runtime, using the identification of producer-consumer relationships between endpoints extracted from API specifications compliant to the standard OpenAPI (OAS). This solution will be evaluated using APIs of applications vulnerable to BOLA, in order to validade its capacity to detect attacks.eng
dc.formatapplication/pdf*
dc.thumbnail.urlhttps://tede.ufam.edu.br/retrieve/53956/Disserta%c3%a7%c3%a3o_MarceloLoebens_PPGI.pdf.jpg*
dc.languageporeng
dc.publisherUniversidade Federal do Amazonaseng
dc.publisher.departmentInstituto de Computaçãoeng
dc.publisher.countryBrasileng
dc.publisher.initialsUFAMeng
dc.publisher.programPrograma de Pós-graduação em Informáticaeng
dc.rightsAcesso Aberto-
dc.subjectCliente/servidor (Computadores)por
dc.subjectAplicações Webpor
dc.subjectSoftware de aplicaçãopor
dc.subject.cnpqCIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAOeng
dc.titleDetectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidoreng
dc.title.alternativeDetecting Broken Object Level Authorization exploits in REST APIs using Producer-Consumer dependencieseng
dc.typeDissertaçãoeng
dc.subject.userAPI - Application Programming Interfaceseng
dc.subject.userBOLA - Broken Object Level Authorizationeng
dc.subject.userDetecçãopor
dc.subject.userOpenAPIeng
dc.subject.userVulnerabilidadepor
Appears in Collections:Mestrado em Informática

Files in This Item:
File Description SizeFormat 
Dissertação_MarceloLoebens_PPGI.pdf3.71 MBAdobe PDFThumbnail

Download/Open Preview
Show simple item record Recommend this item


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.