10 Tipos de Ataques em Aplicações API

10
API
TIPOS DE ATAQUE EM APLICAÇÕES
COM ORIENTAÇÕES PARA CIBERSEGURANÇA
SEGUE A LINHA
10 TIPOS DE ATAQUE EM APLICAÇÕES API
Quebra de Controle de Acesso a

Objetos (IDOR, Insecure Direct Object
References) - Um ataque onde o invasor
altera o valor de uma referência a um
objeto (como um arquivo ou banco de
dados) para acessar outros objetos aos
quais não deveria ter acesso
SEGUE A LINHA
Ataques de Injeção de Comandos - Similar

à injeção de SQL, mas envolvendo a
injeção de comandos arbitrários que o
sistema executa, o que pode afetar o
servidor da API ou os sistemas back-end.
Bypass de Autenticação/Autorização -
Técnicas que exploram falhas nos
mecanismos de autenticação ou
autorização da API.
SEGUE A LINHA
Ataques de DDoS (Distributed Denial of

Service) - Visam sobrecarregar a API com
um volume excessivo de requisições,
muitas vezes distribuídas por inúmeras
fontes, tornando-a indisponível para
usuários legítimos.
Ataques Man-in-the-Middle (MitM) -

Ataques onde o agressor intercepta
comunicações entre duas partes, como
entre um usuário e a API, para espionar,
modificar ou desviar dados.
SEGUE A LINHA
Ataques de Enumeração de Usuários -

Tentativas de enumerar usuários, IDs ou
outros dados enumeráveis através de
varreduras sistemáticas ou previsíveis das
APIs, visando descobrir informações
sensíveis ou padrões de uso.
Injeção de SQL - Ocorre quando um

invasor consegue inserir ou "injetar" uma
query SQL maliciosa através da API, o que
pode levar à manipulação ou ao
vazamento de dados do banco de dados.
SEGUE A LINHA
Ataques de Rate Limiting e Throttling

Insuficiente - Exploram a falta de
restrições eficazes no número de
solicitações que um usuário pode fazer a
uma API, potencialmente levando a uma
negação de serviço (DoS) ou permitindo
ataques de força bruta.
SEGUE A LINHA
Configuração Insegura - Erros de

configuração ou padrões de segurança
insuficientes que deixam a API
vulnerável a ataques. Isso pode incluir
cabeçalhos de segurança mal
configurados, políticas de CORS (Cross-
Origin Resource Sharing) inseguras, ou a
exposição de endpoints de API
desnecessários.
SEGUE A LINHA
Exposição de Dados Sensíveis - A lógica

da API não verifica adequadamente se o
pedido que está sendo acessado
pertence realmente ao usuário que fez a
solicitação. Isso significa que, se um
atacante conseguir obter ou adivinhar o
ID de um pedido de outro usuário, ele
pode inserir esse ID na solicitação e
obter detalhes desse pedido.
SEGUE A LINHA
Orientações gerais:
Utilize padrões modernos de
autenticação como OAuth 2.0,
OpenID Connect e tokens JWT
Valide rigorosamente todas as
entradas recebidas pelas APIs para
garantir que estejam dentro dos
parâmetros esperados
... e outras medidas
SEGUE A LINHA
GOSTOU DO CONTEÚDO?
Comente e compartilhe para
espalhar a conscientização sobre
segurança cibernética!

10 Tipos de Ataques em Aplicações API

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

10 Tipos de Ataques em Aplicações API

Enviado por

Direitos autorais:

Formatos disponíveis

10

COM ORIENTAÇÕES PARA CIBERSEGURANÇA

Quebra de Controle de Acesso a

Ataques de Injeção de Comandos - Similar

Ataques de DDoS (Distributed Denial of

Ataques Man-in-the-Middle (MitM) -

Ataques de Enumeração de Usuários -

Injeção de SQL - Ocorre quando um

Ataques de Rate Limiting e Throttling

Configuração Insegura - Erros de

Exposição de Dados Sensíveis - A lógica

Você também pode gostar