You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
| Específico da API : Abuso **Fácil**| Prevalência **Comum** : Deteção **Moderado**| Técnico **Severo** : Específico Negócio |
6
-
|Exploiting this issue requires attackers to identify and potentially compromise other APIs/services the target API integrated with. Usually, this information is not publicly available or the integrated API/service is not easily exploitable. |Developers tend to trust and not verify the endpoints that interact with external or third-party APIs, relying on weaker security requirements such as those regarding transport security, authentication/authorization, and input validation and sanitization. Attackers need to identify services the target API integrates with (data sources) and, eventually, compromise them. |The impact varies according to what the target API does with pulled data. Successful exploitation may lead to sensitive information exposure to unauthorized actors, many kinds of injections, or denial of service. |
6
+
|Explorar este problema requer que os atacantes identifiquem e potencialmente comprometam outras APIs/serviços com os quais a API alvo está integrada. Normalmente, esta informação não está disponível publicamente ou a API/serviço integrado não é facilmente explorável. |Os desenvolvedores tendem a confiar e não a verificar os _endpoints_ que interagem com APIs externas ou de terceiros, dependendo de requisitos de segurança mais fracos, como aqueles relacionados à segurança do transporte, autenticação/autorização e validação e sanitização de dados. Os atacantes precisam identificar os serviços com os quais a API alvo se integra (fontes de dados) e, eventualmente, comprometer esses serviços. |O impacto varia de acordo com o que a API alvo faz com os dados extraídos. A exploração bem sucedida pode levar à exposição de informações sensíveis a atores não autorizados, a vários tipos de injeções ou à negação de serviço. |
7
7
8
8
## A API é vulnerável?
9
9
10
-
Developers tend to trust data received from third-party APIs more than user
11
-
input. This is especially true for APIs offered by well-known companies.
12
-
Because of that, developers tend to adopt weaker security standards, for
13
-
instance, in regards to input validation and sanitization.
10
+
Os desenvolvedores tendem a confiar mais nos dados recebidos de APIs de
11
+
terceiros do que nos dados fornecidos por utilizadores. Isso é especialmente
12
+
verdade para APIs oferecidas por empresas bem conhecidas. Por essa razão, os
13
+
desenvolvedores tendem a adotar padrões de segurança mais fracos, especialmente
14
+
no que diz respeito à validação e sanitização de dados.
14
15
15
-
The API might be vulnerable if:
16
+
A API pode estar vulnerável se:
16
17
17
-
*Interacts with other APIs over an unencrypted channel;
18
-
*Does not properly validate and sanitize data gathered from other APIs prior
19
-
to processing it or passing it to downstream components;
20
-
*Blindly follows redirections;
21
-
*Does not limit the number of resources available to process third-party
22
-
services responses;
23
-
*Does not implement timeouts for interactions with third-party services;
18
+
*Interage com outras APIs através de um canal não encriptado;
19
+
*Não valida e sanitiza corretamente os dados recolhidos de outras APIs antes de
20
+
os processar ou de os passar para componentes posteriores;
21
+
*Segue redirecionamentos cegamente;
22
+
*Não limita o número de recursos disponíveis para processar respostas de
23
+
serviços de terceiros;
24
+
*Não implementa limites de tempo para interações com serviços de terceiros;
0 commit comments