paint-brush
एपीआई हमलों में बॉट्स की भूमिकाद्वारा@venkateshsundar
585 रीडिंग
585 रीडिंग

एपीआई हमलों में बॉट्स की भूमिका

द्वारा Venkatesh Sundar6m2023/05/09
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

एपीआई आधुनिक समय के अनुप्रयोगों के लिए बिल्डिंग ब्लॉक्स हैं और कम्पोज़ेबल एंटरप्राइज़ मॉडल और डिजिटल प्लेटफ़ॉर्म ड्राइव करते हैं। वर्तमान में, विश्व स्तर पर उपयोग में आने वाले सार्वजनिक और निजी एपीआई की कुल संख्या लगभग 200 मिलियन होने का अनुमान है। डिज़ाइन द्वारा, वे डेटा, संसाधनों और कार्यात्मकताओं तक त्वरित, आसान पहुँच प्रदान करते हैं; ऐसा कोई रास्ता नहीं है कि हमलावर उन्हें याद करेंगे।
featured image - एपीआई हमलों में बॉट्स की भूमिका
Venkatesh Sundar HackerNoon profile picture
0-item

एपीआई आधुनिक समय के अनुप्रयोगों के लिए बिल्डिंग ब्लॉक्स हैं और कम्पोज़ेबल एंटरप्राइज़ मॉडल और डिजिटल प्लेटफ़ॉर्म ड्राइव करते हैं। जैसा कि अधिक संगठन एपीआई एकीकरण के महत्व को समझते हैं, एपीआई का उपयोग आसमान छू रहा है।


वर्तमान में, वैश्विक स्तर पर उपयोग में आने वाले सार्वजनिक और निजी एपीआई की कुल संख्या लगभग 200 मिलियन होने का अनुमान है। चूंकि एपीआई बहुत महत्वपूर्ण हैं और डिजाइन द्वारा, वे डेटा, संसाधनों और कार्यात्मकताओं तक त्वरित, आसान पहुंच प्रदान करते हैं; ऐसा कोई रास्ता नहीं है कि हमलावर उन्हें याद करेंगे। और बॉट्स हमलावरों के शस्त्रागार में महत्वपूर्ण उपकरण हैं, वे एपीआई बॉट हमलों को ऑर्केस्ट्रेट करने के लिए बॉट्स का लाभ उठा रहे हैं।


एपीआई बॉट हमले वास्तव में क्या हैं? एपीआई एस पर हमला करने के लिए खतरे वाले अभिनेता बॉट्स का उपयोग कैसे करते हैं? आप अपने एपीआई को बॉट्स से कैसे बचाते हैं? पता लगाने के लिए पढ़ते रहे।


एपीआई बॉट अटैक

एपीआई बॉट हमले क्या हैं, इस पर ध्यान देने से पहले आइए पहले बॉट्स की मूल बातें समझें।


बॉट स्वायत्त प्रोग्राम हैं जिनका उपयोग मशीन-टू-मशीन संचार के लिए किया जाता है। उन्हें मानव हस्तक्षेप के बिना कार्य करने और वेब अनुरोधों को पूरा करने के लिए प्रोग्राम किया जा सकता है। यह IP एड्रेस से HTTP ट्रैफिक को सिस्टम में भेजता है। बोटनेट बॉट्स का एक संग्रह है जो एक साथ काम करते हैं और कई आईपी पतों का लाभ उठा सकते हैं। बॉटनेट का आकार कुछ सौ से लेकर कई हजार आईपी पतों तक भिन्न होता है।


एक बॉट हमले में, दुर्भावनापूर्ण अभिनेता किसी लक्ष्य वेबसाइट, ऐप, एंड-यूज़र, या एपीआई में हेरफेर करने, धोखा देने या बाधित करने के लिए बॉट्स का लाभ उठाते हैं। बॉट हमलों को शुरू में स्पैमिंग लक्ष्यों के लिए इस्तेमाल किया गया था। लेकिन आज, वे बहुत अधिक परिष्कृत हो गए हैं और जटिल हमले कर सकते हैं जो मानव व्यवहार की बारीकी से नकल करते हैं।


जब ये स्वचालित प्रोग्राम विशेष रूप से एपीआई पर हमला करने के लिए लीवरेज किए जाते हैं या जब हमलावर एपीआई हमलों के पैमाने, प्रभाव और परिष्कार को बढ़ाने के लिए बॉट्स का लाभ उठाते हैं, तो यह एपीआई बॉट हमला होता है।


एपीआई के खिलाफ बॉट्स का इस्तेमाल क्यों किया जाता है?

डेटा, संसाधनों और व्यावसायिक तर्क का प्रोग्रामेटिक एक्सपोजर:

साइबर अटैक में बॉट्स का इस्तेमाल युगों से होता आ रहा है। लेकिन जब एपीआई के खिलाफ उनका इस्तेमाल किया जाता है तो यह चिंता का कारण क्यों है? ऐसा इसलिए है क्योंकि एपीआई को विविध ऐप्स को जोड़ने, डेटा, संसाधनों आदि तक प्रोग्रामेटिक एक्सेस प्रदान करने और कई क्लाइंट्स द्वारा आसान एकीकरण और साझाकरण को सक्षम करने के लिए डिज़ाइन किया गया है। अपने स्वभाव से, वे उच्च-मूल्य वाली कार्यात्मकताओं और व्यावसायिक तर्क को उजागर करते हैं और संसाधनों को खोजने योग्य बनाते हैं। इस प्रकार, वे संवेदनशील जानकारी के संपर्क में आने के जोखिम को बढ़ाते हैं।


दृश्यता का अभाव:

एपीआई बॉट हमलों के लिए आकर्षक लक्ष्य हैं क्योंकि संगठनों के जीवनचक्र में एपीआई में दृश्यता की कमी है। और यह तथ्य कि वे पर्दे के पीछे काम करते हैं, बहुत ज्यादा मदद नहीं करता है। जब आप नहीं जानते कि आपके आर्किटेक्चर में एपीआई मौजूद हैं, तो आप उनकी जांच, प्रबंधन और सुरक्षा कैसे करेंगे? यह आपको कई कमजोर, छाया, ज़ोंबी, बदमाश और गलत एपीआई के साथ छोड़ देता है। नतीजतन, वे पारंपरिक समापन बिंदुओं की तुलना में अक्सर कम सुरक्षित होते हैं और आपके जोखिमों को तेजी से बढ़ाते हैं।


जब आप इस मिश्रण में बॉट्स जोड़ते हैं तो आपके पास आपदा का नुस्खा होता है। हो सकता है कि संगठनों को पता न हो कि कौन से एपीआई मौजूद हैं, उनका उपयोग कौन कर रहा है, उनके पास किन संसाधनों तक पहुंच है और वे किस व्यावसायिक तर्क का खुलासा करते हैं। लेकिन थ्रेट एक्टर्स संगठन के आईटी आर्किटेक्चर को मैप करने और एपीआई में कमजोर स्थानों के लिए जासूसी करने के लिए बॉट्स का लाभ उठाते हैं। बॉट्स वास्तव में हमलावरों के लिए प्रक्रिया को त्वरित, आसान और चुस्त बनाते हैं।


आज के बॉट चोरी-छिपे हैं:

बॉट्स का उपयोग एपीआई हमलों के लिए भी किया जाता है क्योंकि वे बेहद गुप्त हो सकते हैं और पारंपरिक सुरक्षा उपकरणों द्वारा पता लगाने से बच सकते हैं। वास्तव में, आज के अधिक परिष्कृत बॉट भी अधिक उन्नत सुरक्षा उपकरणों द्वारा पता लगाने से बच सकते हैं।


उदाहरण के लिए, आपने तीन असफल लॉगिन प्रयासों के बाद किसी खाते को फ्रीज करने के लिए अपने एपीआई प्रमाणीकरण नियमों को अस्थायी रूप से ट्यून किया हो सकता है। क्रेडेंशियल-स्टफिंग हमले में दो असफल प्रयासों के बाद बॉट बस दूसरे आईपी पते पर चले जाएंगे। बुद्धिमान स्वचालन का उपयोग करते हुए, वे यह सब मानवीय हस्तक्षेप के बिना करते हैं, समय के साथ उनके द्वारा प्रोग्राम किए गए नियमों और उनके सीखने के आधार पर चलते-फिरते निर्णय लेते हैं।


अन्य हमलों के लिए बॉट्स को स्मोकस्क्रीन के रूप में उपयोग किया जाता है:

एपीआई बॉट हमलों को अक्सर अन्य प्रकार के एपीआई दुरुपयोग को ऑर्केस्ट्रेट करने वाले हमलावरों द्वारा ध्यान भंग या स्मोकस्क्रीन के रूप में उपयोग किया जाता है। उदाहरण के लिए, हमलावर बॉटनेट का लाभ उठा सकते हैं ताकि सुरक्षा टीमों को अनुवर्ती कार्रवाई के लिए हजारों सुरक्षा अलर्ट ट्रिगर किए जा सकें। लेकिन उनका इरादा आईडी की गणना करना है जबकि सुरक्षा दल सुरक्षा अलर्ट की जांच करते हैं।


धमकी देने वाले एपीआई पर हमला करने के लिए बॉट्स का लाभ उठाते हैं क्योंकि यह प्रक्रिया में बेजोड़ गति, लचीलापन और चपलता प्रदान करता है। उदाहरण के लिए, क्रेडेंशियल स्टफिंग या ब्रूट फ़ोर्स अटैक को सुरक्षा उपायों को बंद किए बिना मैन्युअल रूप से नहीं बनाया जा सकता है। लेकिन बॉट्स ब्रूट फोर्सिंग और क्रेडेंशियल स्टफिंग को त्वरित, आसान और स्केलेबल बनाते हैं।


यहां एक और उदाहरण दिया गया है कि कैसे बॉट हमलावरों को एपीआई को लक्षित करने में मदद करते हैं। हमलावर बड़ी मात्रा में एपीआई अनुरोधों को प्रमाणीकरण के बिना एक समापन बिंदु पर भेज सकते हैं और थोड़े समय के भीतर बड़ी मात्रा में डेटा एकत्र कर सकते हैं।


पारंपरिक उपकरण आधुनिक समय के बॉट्स के खिलाफ अप्रभावी हैं:

नियमित बॉट हमलों के साथ भी पारंपरिक सुरक्षा उपकरणों की कमी पाई जाती है। लेकिन वे एपीआई बॉट हमलों को रोकने में अधिक अप्रभावी हैं क्योंकि वे विशेष रूप से एपीआई के लिए डिज़ाइन नहीं किए गए हैं। सबसे पहले, पारंपरिक उपकरण प्रभावी रूप से बॉट और मानव गतिविधि के बीच और अच्छी और बुरी बॉट गतिविधि के बीच अंतर नहीं कर सकते हैं। यह बॉट-आधारित हमलों के खिलाफ एपीआई की रक्षा करने की उनकी क्षमता को गंभीर रूप से सीमित करता है।


दूसरे, बॉट्स द्वारा छोड़े जाने वाले कम सुरागों और एपीआई द्वारा एकत्र किए जाने वाले कम विवरणों के साथ, पारंपरिक उपकरण प्रभावी रूप से यह तय नहीं कर सकते हैं कि एपीआई कॉल दुर्भावनापूर्ण है या वैध। अनिवार्य रूप से, बॉट्स उसी डेटा का अनुरोध करते हैं जैसे वे ब्राउज़र हमलों के साथ करते हैं।


अंतर यह है कि एपीआई बॉट हमले बॉट गतिविधि का पता लगाने के लिए पारंपरिक उपकरणों द्वारा उपयोग किए जाने वाले ब्राउज़र संस्करण, उपयोग की जाने वाली कुकीज़, डिवाइस प्रकार आदि के बारे में कोई जानकारी नहीं देते हैं। चूंकि एपीआई हमले पूरी तरह से आभासी हैं, बॉट्स हमलों के चारों ओर घूम सकते हैं, विभिन्न बादलों के बीच घूम सकते हैं, आईपी पते घुमा सकते हैं, प्रॉक्सी नेटवर्क का उपयोग कर सकते हैं, और पारंपरिक सुरक्षा को दूर करने के लिए और भी बहुत कुछ कर सकते हैं।


व्यापार तर्क दोष:

डेवलपर्स सामान्य नियमों का उपयोग करते हैं और व्यापार तर्क पर विचार किए बिना एपीआई को डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ छोड़ देते हैं। यह व्यापार तर्क दोष पैदा करता है बॉट उचित प्रतीत होने वाले एपीआई अनुरोधों के माध्यम से पता लगाने से बचते हुए कहर बरपा सकता है।


एपीआई पर बॉट हमलों को माउंट करना आसान है:

मोबाइल और वेब एप्लिकेशन पर बॉट के हमलों की तुलना में एपीआई पर बॉट के हमले बहुत आसान और अधिक लागत प्रभावी हैं। जबकि अलग-अलग ऐप्स को अलग-अलग दृष्टिकोण और बॉट क्षमताओं की आवश्यकता होती है, हमलावर प्रत्यक्ष और वेब एपीआई के लिए समान बुनियादी ढांचे और हमले तंत्र का उपयोग कर सकते हैं। साथ ही, एपीआई हमलावरों को मुख्य आईटी बुनियादी ढांचे और महत्वपूर्ण संपत्तियों तक पहुंचने में सक्षम बनाता है।


इसके अलावा, बॉट्स, बॉटनेट्स और अटैक टूलकिट किराए पर लेने के लिए और अक्सर कम कीमतों पर आसानी से उपलब्ध हैं। इसलिए, एपीआई बॉट हमलों को माउंट करने के लिए हमलावरों को बहुत अधिक संसाधनों या गहन तकनीकी ज्ञान की आवश्यकता नहीं होती है।


एपीआई हमलों में बॉट किस तरह से उपयोग किए जाते हैं?

  1. टोही: हमलावर कमजोर एपीआई समापन बिंदुओं का पता लगाने, परीक्षण का पता लगाने की सीमा, हमले की सतह को मैप करने आदि के लिए बॉट्स और बॉटनेट का लाभ उठाते हैं।

  2. आक्रमण: एपीआई पर हमला करने के लिए बॉट और बॉटनेट का उपयोग किया जाता है। कुछ सामान्य एपीआई बॉट हमले हैं क्रेडेंशियल स्टफिंग, ब्रूट फ़ोर्स अटैक, कंटेंट स्क्रैपिंग अटैक, इंजेक्शन आदि।

  3. अपवंचन: एपीआई-आधारित हमलों में, बॉट्स और बॉटनेट्स का भी हमलावरों द्वारा लाभ उठाया जाता है ताकि वे अपने चोरी-छिपे व्यवहार के माध्यम से या विकर्षण पैदा करके सुरक्षा सुरक्षा से बच सकें।


एपीआई बॉट शमन: 5 प्रभावी तरीके

  • खुफिया जानकारी एकत्र करें और अपने एपीआई के संबंध में बॉट्स के सामान्य व्यवहार के लिए आधार रेखा बनाएं।
  • सभी आने वाले एपीआई अनुरोधों की निगरानी करें ताकि जांच के चरण में ही विषम व्यवहार का पता लगाया जा सके और उसे रोका जा सके।
  • तैनात किए गए सुरक्षा उपकरण को मानवीय हस्तक्षेप के बिना मामला-दर-मामला आधार पर बुद्धिमानी से आने वाले ट्रैफ़िक को अनुमति देने, ब्लॉक करने, फ़्लैग करने या चुनौती देने में सक्षम होना चाहिए।
  • प्रभावी ढंग से मानव, अच्छी और बुरी बॉट गतिविधि के बीच अंतर करने के लिए व्यवहार और पैटर्न विश्लेषण, वर्कफ़्लो सत्यापन और फ़िंगरप्रिंटिंग का लाभ उठाएं।
  • गलत कॉन्फ़िगरेशन, भेद्यता और व्यावसायिक तर्क संबंधी खामियों के लिए अपने API को स्कैन, परीक्षण और मॉनिटर करते रहें।
  • जीरो-ट्रस्ट पॉलिसी के साथ एक्सेस कंट्रोल और ऑथेंटिकेशन मैकेनिज्म को मजबूत करें।
  • हमेशा एपीआई नियमसेट को कस्टमाइज़ करें।