En el post de hoy hablamos sobre el análisis de amenazas de APIs y la falsificación de solicitudes del servidor en plataformas FinTech con el secuestro de cuentas.
Análisis de amenazas de APIs
La falsificación de solicitudes del lado del servidor en plataformas FinTech con el secuestro de cuentas de administrador.
El equipo de Salt Labs hizo un análisis sobre la vulnerabilidad de la API.
Investigaron la plataforma de una gran empresa de tecnología financiera que alimenta los sistemas de muchos bancos y millones de personas todos los días. Descubrieron una falla crítica que podría conducir a una toma de control administrativa de la cuenta.
Si los malos actores explotan esta vulnerabilidad, podrían causar daños graves a las empresas fintech y sus usuarios.
Lee el informe completo aquí y descubre por qué las API son un objetivo principal para los atacantes, explica este patrón de ataque en detalle y explora las técnicas de mitigación.
¿Cómo previenen otras empresas este posible desastre?
Siguieron una práctica de divulgación coordinada e informaron que todos los problemas que identificaron ya se habían resuelto.
La entrada controlada por el usuario es la culpable. Nunca se debe confiar ciegamente en dichos parámetros. Los desarrolladores de software y API siempre deben asegurarse de que se aplique la mayor protección posible a cualquier entrada del usuario, especialmente si el valor de entrada es vulnerable, como los valores de URL que podrían conducir a SSRF u otras clases de vulnerabilidades.
La protección más eficaz debería ser una combinación de dos protecciones estáticas, como la desinfección básica o la inclusión en listas blancas, y la protección en tiempo de ejecución que puede identificar anomalías en el tráfico de la API. Esta protección cierra agujeros o desvíos en los métodos estáticos.
En CloudAPPi facilitamos la evaluación del riesgo de seguridad de la API de su empresa con una auditoría del estado de la seguridad de la API sin costo.
¿Quieres una auditoria de API Security gratis?
