¿Es un servicio web REST sin autenticación o autorización no segura?

Navega tus respuestas
1

Hay un servicio web basado en REST que no tiene autenticación ni autorización alguna; cualquier persona que sepa una URL de un método particular de este servicio web puede usarla.

Sin embargo, las URL de los métodos no están expuestas al público (por ejemplo, no hay documentación pública que enumere los métodos de API, ni nada de eso). El único lugar desde el que se accede al servicio web es desde una aplicación de Android que, obviamente, necesita conocer las URL para utilizar el servicio web (están codificadas). La aplicación no se publica en ninguna tienda de aplicaciones públicas y solo se distribuye internamente.

¿Hay alguna manera de que un atacante potencial acceda al servicio web fuera de la aplicación de Android? Por supuesto, una forma obvia sería obtener la aplicación, descompilarla y descubrir cuáles son las URL; ¿Hay alguna otra forma realista excepto eso?

El servicio web en cuestión realmente existe. En este momento, solo tengo la sensación de que toda la configuración es una receta para el desastre. Necesito algunos ejemplos particulares para poder convencer a mi jefe de que realmente necesitamos mejorar la situación de alguna manera.

    
pregunta user66497 17.01.2015 - 17:05
fuente

3 respuestas

4

Aquí hay un par de posibles escenarios:

  • un usuario de la aplicación se conecta a Internet a través de un punto de acceso WiFi público, y una tercera persona escucha a escondidas el tráfico HTTP simple. Esa persona puede obtener sus URL.
  • el proveedor de Internet móvil del usuario de la aplicación implementa la recolección y el análisis automatizados del comportamiento del usuario para crear un perfil de comportamiento para la orientación de anuncios. Si suena demasiado descabellado, echa un vistazo a esta historia sobre Verizon en los EE. UU. También he oído que algunos proveedores de Internet en Rusia están implementando una solución similar. Como no especificó el país en cuestión, no sé qué se aplica en su caso.
  • vigilancia masiva por parte de la NSA o cualquier otro servicio de seguridad.

Como mínimo, implementaría HTTPS o cifraría el tráfico utilizando un certificado codificado. Esto no eliminará a un atacante determinado, pero debería impedir las escuchas ilegales "paso por paso".

    
respondido por el mkalkov 17.01.2015 - 19:05
fuente
0

definitivamente deberías implementar alguna Autorización, ya que alguien podría escanear tu red y ver las conexiones salientes, y ver que hay una conexión que va a esta URL y que tal vez quiera explotarla.

la forma más sencilla de explicarlo.

herramientas que se pueden usar:

nmap: escanear puertos y conexiones

Tiburón de alambre: Sesiones de secuestro.

droid sheep: secuestrando sesiones.

ya que no tiene autenticación o autenticación, alguien podría secuestrar una sesión fácilmente.

tantas posibilidades!

    
respondido por el Ersats 17.01.2015 - 17:30
fuente
0

Creo que estás bastante equivocado en tu suposición aquí. Debido a que la aplicación de Android está haciendo la llamada, no significa que esta sea la única ubicación donde se verá la solicitud. Este es solo el punto de origen de la solicitud.

Si esta solicitud pasa a través de una red que es propiedad de un atacante (cafe wifi, rogue ap), se puede registrar o interceptar. ¿Qué sucede si se envía a través de un proxy?

Si iba a atacar tu servicio, lo primero que haré es hacer un proxy de la solicitud para ver qué API se están llamando y qué parámetros se están utilizando.

Si no hay autenticación, es posible que comience a usar sus servicios web en un producto propio, con usted pagando la factura. Si sus servicios web devuelven datos jugosos, voy a enumerar cada pieza que pueda o si estoy enojado con el mundo, es posible que vea lo que se necesita para consumir todos los recursos de su servicio.

  • HTTPS
  • autenticación
  • Autorización
  • Monitoreo de sus API's

Estas no son opciones, son imprescindibles en cualquier servicio web

    
respondido por el McMatty 29.01.2018 - 21:48
fuente

Lea otras preguntas en las etiquetas

¿Qué información debo proporcionar al enviar un informe de vulnerabilidad a un programa de recompensas? Más allá de las inyecciones de SQL y XSS