Como atacar a insegurança das APIs aplicando Inteligência Artificial

Filipe Balestra, fundador da Pride Security, palestraram na APICON 2020 sobre o tema “como atacar a insegurança das APIs aplicando Inteligência Artificial”.

Para abordar a temática, os palestrantes optaram por trazer cases. “Empresas promovem uma série de testes de segurança e hoje contamos alguns casos e falhas interessantes em API para que todos possam ter uma noção de como que pensa e se proteger uso incorreto de jwp, tokens de acesso para  autorizar as pessoas”, fala Filipe Balestra.

O primeiro caso, abordou o uso incorreto de JWT, que é basicamente utilizado para a autorização de pessoas. Um token JWT, basicamente e de forma bem superficial, é dividido em três partes: cabeçalho, corpo e assinatura.

Esta é uma tecnologia bastante utilizada e encontrada em diversos tipos de projetos. A primeira parte, o cabeçalho, serve para definir qual é o tipo de algoritmo utilizado:

• Algoritmo Simétrico: utiliza uma senha para assinar;

• Algoritmo Assimétrico: utiliza, por exemplo, em um contexto de chave pública e privada;

• Algoritmo none: não tem algoritmo nenhum;

A segunda parte é o conteúdo, lá dentro encontra-se qualquer tipo de informação, do número do CPF ao Identificador de conta desta pessoa e, algumas vezes, até informação sensível. A terceira parte é a assinatura, o que garante que mudanças não autorizadas sejam rejeitadas, o que, em teoria, a assinatura é o que garante a segurança do JWT.

O case em questão, envolvia o uso de JWT expirado e decodificado. A API era utilizada para consultar endereço por CEP e a requisição foi feita com um token válido, porém expirado, e a resposta à requisição feita foi com um redirecionamento.

Quer saber mais sobre os cases e a solução tomada para cada um? Vem assistir a palestra!

Este artigo foi escrito por Filipe Balestra e publicado originalmente em Prensa.li.