OWASP-Einstufung (API6:2023)

Laut OWASP-Seite: API Specific. Exploitability: Easy. Prevalence: Widespread. Detectability: Average. Technical Impact: Moderate. Business Impact: Business Specific. (Hinweis der OWASP-Seite: Ein technischer Impact wird in der Regel nicht erwartet - der Schaden ist geschäftsspezifisch.)

Wie der Angriff funktioniert

Der Angreifer versteht zunächst das Geschäftsmodell hinter der API und identifiziert sensible Geschäftsabläufe. Er ermittelt manuell, welche Ressourcen (z. B. Endpunkte) an dem Ziel-Workflow beteiligt sind und wie sie zusammenwirken.

Anschließend automatisiert er den Zugriff auf diesen Ablauf. Jeder einzelne Request ist legitim und authentifiziert, aber die Menge bzw. Geschwindigkeit der Ausführung wäre für einen echten Menschen unrealistisch.

Sind bereits Schutzmechanismen vorhanden, sucht der Angreifer nach Wegen, diese zu umgehen (z. B. Verteilung über viele IP-Adressen und Standorte). Direkt von Maschinen genutzte APIs (Entwickler- und B2B-APIs) sind besonders gefährdet, da sie oft nicht alle nötigen Schutzmechanismen implementieren.

1. AusgangslageSensibler Ablauf ohne Drosselung (Kauf, Buchung)
2. AngriffAutomatisiert und massenhaft ausführen (Bots)
3. ErgebnisGeschäftsschaden: Scalping, Ausverkauf, Spam

Ein erlaubter Ablauf wird automatisiert missbraucht.

Beispiel

Szenario (Scalping, OWASP Scenario #1): Ein Technologieunternehmen kündigt an, zu Thanksgiving eine neue Spielkonsole mit hoher Nachfrage und begrenztem Bestand zu veröffentlichen.

  1. Der Angreifer schreibt Code, der den kompletten Kaufvorgang automatisch durchführt und die Transaktion abschließt.
  2. Am Verkaufstag führt er den Code verteilt über verschiedene IP-Adressen und Standorte aus.
  3. Die API implementiert keinen geeigneten Schutz und erlaubt es dem Angreifer, den Großteil des Bestands aufzukaufen, bevor legitime Nutzer zum Zug kommen.
  4. Der Angreifer verkauft das Produkt anschließend auf einer anderen Plattform zu einem deutlich höheren Preis weiter.

Jeder einzelne HTTP-Kaufrequest ist gültig und autorisiert - missbraucht wird der Geschäftsablauf durch automatisierte Massennutzung.

Auswirkung

Ein technischer Schaden ist in der Regel nicht zu erwarten; der Schaden trifft das Geschäft. Beispiele laut OWASP: legitime Nutzer werden am Kauf eines Produkts gehindert, oder es kommt zu einer Inflation der internen Ökonomie eines Spiels.

Konkrete Geschäftsfolgen aus den Szenarien:

  • Scalping (Szenario #1): Aufkaufen des gesamten Bestands und Weiterverkauf zu überhöhten Preisen.
  • Preismanipulation (Szenario #2): Manipulation von Ticketpreisen durch Massenbuchung und anschließende gleichzeitige Stornierung.
  • Betrug an Empfehlungsprogrammen (Szenario #3): automatisierte Massenregistrierung zum Sammeln von Guthaben - Freifahrten oder Verkauf der Konten.

So schützt man sich

  • Geschäftsebene: Geschäftsabläufe identifizieren, die dem Geschäft bei übermäßiger Nutzung schaden könnten.
  • Engineering-Ebene: passende Schutzmechanismen wählen, um das identifizierte Geschäftsrisiko zu mindern.
  • Device Fingerprinting: Dienst für unerwartete Client-Geräte (z. B. Headless-Browser) verweigern, um Angriffe aufwendiger und teurer zu machen.
  • Human Detection: Einsatz von Captcha oder fortgeschritteneren biometrischen Lösungen (z. B. Tippmuster).
  • Non-Human Patterns: Nutzerablauf auf nicht-menschliche Muster analysieren (z. B. 'in den Warenkorb' und 'Kauf abschließen' in unter einer Sekunde).
  • IP-Adressen von Tor-Exit-Nodes und bekannten Proxys blockieren in Betracht ziehen.
  • Direkt von Maschinen konsumierte APIs (Entwickler- und B2B-APIs) absichern und deren Zugriff begrenzen, da sie oft nicht alle nötigen Schutzmechanismen umsetzen.

Quellen

Weiterlesen