Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor

Página do item simplificado
dc.contributor.advisor1Feitosa, Eduardo Luzeiro
dc.contributor.advisor1Latteshttp://lattes.cnpq.br/5939944067207881eng
dc.contributor.referee1Oliveira, Horacio Antonio Braga Fernandes de
dc.contributor.referee1Latteshttp://lattes.cnpq.br/9314744999783676eng
dc.contributor.referee2Kreutz, Diego Luis
dc.contributor.referee2Latteshttp://lattes.cnpq.br/2781747995973774eng
dc.creatorLoebens, Marcelo de Castro
dc.creator.Latteshttp://lattes.cnpq.br/8566448745754906eng
dc.date.issued2022-02-25
dc.description.abstractWeb APIs (Application Programming Interfaces) have become ubiquitous in applications that require some type of communication between client and server, being developed mainly using the REST (Representational State Transfer) style of architecture and widely used in the development of Web and mobile applications. This increase in popularity, however, brought new security challenges, such as the spread of vulnerabilities derived mainly from the absence of state controls on client applications, reflecting the statelessness requirement of REST design. Among these vulnerabilities, the Broken Object Level Authorization (or BOLA), a specific type of access control breach, stands out. It’s listed in the first position of the OWASP API Security Top 10 and it’s considered the most prevalent vulnerability in real-world applications, leading to unauthorized access to sensitive data in successful attacks. This work aims to provide an approach to detect attempts to exploit this vulnerability at runtime, using the identification of producer-consumer relationships between endpoints extracted from API specifications compliant to the standard OpenAPI (OAS). This solution will be evaluated using APIs of applications vulnerable to BOLA, in order to validade its capacity to detect attacks.eng
dc.description.resumoAs Web APIs (Application Programming Interfaces) vêm se tornando ubíquas em aplicações que demandam algum tipo de comunicação entre cliente e servidor, sendo desenvolvidas majoritariamente utilizando o estilo de arquitetura REST (Representational State Transfer) e largamente empregadas no desenvolvimento de aplicações Web e móveis. Esse aumento de popularidade, no entanto, trouxe novos desafios de segurança, como a difusão de vulnerabilidades derivadas principalmente da ausência de controles de estado das aplicações clientes, reflexo do requisito de statelessness do design REST. Dentre essas vulnerabilidades destaca-se a Broken Object Level Authorization (ou BOLA), um tipo específico de quebra de controle de acesso. Ela foi elencada na primeira posição do OWASP API Security Top 10, sendo considerada a vulnerabilidade de maior prevalência em aplicações do mundo real, uma vez que pode levar ao acesso não autorizado a dados sensíveis. Este trabalho visa fornecer uma abordagem de detecção de tentativas de exploração dessa vulnerabilidade em tempo de execução, a partir da identificação de relacionamentos produtor-consumidor entre os endpoints, extraídos a partir de especificações da API no padrão OpenAPI (OAS). Essa solução será avaliada utilizando-se APIs de aplicações vulneráveis a BOLA, visando validar a sua capacidade de detecção de ataques.eng
dc.formatapplication/pdf*
dc.identifier.citationLOEBENS, Marcelo de Castro. Detectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidor. 2022. 54 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas (AM), 2022.eng
dc.identifier.urihttps://tede.ufam.edu.br/handle/tede/8741
dc.languageporeng
dc.publisherUniversidade Federal do Amazonaseng
dc.publisher.countryBrasileng
dc.publisher.departmentInstituto de Computaçãoeng
dc.publisher.initialsUFAMeng
dc.publisher.programPrograma de Pós-graduação em Informáticaeng
dc.rightsAcesso Aberto
dc.subjectCliente/servidor (Computadores)por
dc.subjectAplicações Webpor
dc.subjectSoftware de aplicaçãopor
dc.subject.cnpqCIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAOeng
dc.subject.userAPI - Application Programming Interfaceseng
dc.subject.userBOLA - Broken Object Level Authorizationeng
dc.subject.userDetecçãopor
dc.subject.userOpenAPIeng
dc.subject.userVulnerabilidadepor
dc.thumbnail.urlhttps://tede.ufam.edu.br/retrieve/53956/Disserta%c3%a7%c3%a3o_MarceloLoebens_PPGI.pdf.jpg*
dc.titleDetectando ataques Broken Object Level Authorization em APIs REST usando dependência Produtor-Consumidoreng
dc.title.alternativeDetecting Broken Object Level Authorization exploits in REST APIs using Producer-Consumer dependencieseng
dc.typeDissertaçãoeng

Arquivos

Pacote original

Agora exibindo 1 - 4 de 4
Imagem de Miniatura
Nome:
382 Folha de Aprovação - Marcelo Loebens - signed.pdf
Tamanho:
895.24 KB
Formato:
Documentos internos
Descrição:
Folha de Aprovação
Baixar
Imagem de Miniatura
Nome:
382 ATA de Defesa - Marcelo Loebens - signed.pdf
Tamanho:
901.37 KB
Formato:
Documentos internos
Descrição:
Ata de Defesa Pública
Baixar
Imagem de Miniatura
Nome:
Carta de Autorização de Encaminhamento(2).pdf
Tamanho:
372.62 KB
Formato:
Documentos internos
Descrição:
Carta de Encaminhamento para Autodepósito assinada pelo orientador
Baixar
Imagem de Miniatura
Nome:
Dissertação_MarceloLoebens_PPGI.pdf
Tamanho:
3.63 MB
Formato:
Adobe Portable Document Format
Baixar

Licença do pacote

Agora exibindo 1 - 1 de 1
Imagem de Miniatura
Nome:
license.txt
Tamanho:
2.32 KB
Formato:
Item-specific license agreed upon to submission
Descrição:
Baixar

Coleções

Mestrado em Informática
Sistema de Bibliotecas da Universidade do Amazonas
Logo SISTEBIBLogo CTIC

  • Sistema implantado pelo Centro de Tecnologia da Informação e Comunicação - UFAM