APIs: 2025’te Hala Kolay Hedefler
API’ler, modern uygulamaların temelini oluşturan unsurlardır ve bir kuruluşun altyapısının en fazla maruz kalan bölümlerinden biridir. Bu durum, onları saldırganlar için önemli bir hedef haline getirir. 2022’de yaşanan Optus ihlali, bu konudaki en öne çıkan örneklerden biri olarak karşımıza çıkmaktadır. Saldırganlar, doğrulama gerektirmeyen bir API uç noktası aracılığıyla milyonlarca müşteri kaydını çaldı. Bu durum, telekomünikasyon şirketine 140 milyon AUD’ya mal oldu.
Endişe verici olan, bu tür açıkların keşfedilmesinin ne kadar kolay olduğudur. Teknik bir arka plana sahip olmayan birine bile bir günde bu yetenekler kazandırılabilir. Üç yıl sonra bile, Intruder’ün güvenlik ekibi büyük organizasyonların API’lerinde aynı sorunları bulmaya devam ediyor. Hatta bu organizasyonlar arasında S&P 500 üyeleri de bulunmaktadır.
İşte bu nedenle Autoswagger’ı geliştirdik: API’lerdeki hata doğrulama açıklarını tarayan ücretsiz ve açık kaynak bir araç. Bu yazıda, nasıl çalıştığını ve test ettiğimizde ortaya çıkan en şaşırtıcı sorunları inceleyeceğiz.
Autoswagger Nedir ve Nasıl Çalışır?
Autoswagger, açık API belgelerini tespit etmek için alan adlarını tarar. OpenAPI veya Swagger şemaları gibi belgeleri ayrıştırarak test edilecek uç noktaların bir listesini oluşturur. Daha sonra, belgelerdeki geçerli parametreleri kullanarak istekler gönderir ve doğru erişim kontrolü olmadan (yani 401 veya 403 yanıtları olmadan) veri döndüren her uç nokta için bir uyarı verir.
Bir yanıt hassas veriler içeriyorsa – örneğin, kimlik bilgileri veya kişisel tanımlanabilir bilgiler (PII) – ve uç nokta düzgün bir şekilde korunmuyorsa, bu durum çıktı olarak işaretlenir.
Autoswagger, GitHub üzerinden indirip kurmak için ücretsizdir. Daha gelişmiş testler için Autoswagger, doğrulama kontrollerini atlatmaya yönelik --brute bayrağı ile çalıştırılabilir. Bu, geçersiz girdi kabul eden ancak belirli veri formatları veya değerleri kabul eden uç noktalardaki kusurları ortaya çıkarmaya yardımcı olur.
API’ler, sistemlere girişin en kolay yollarından biridir ve saldırganlar bunu çok iyi bilmektedir. Binlerce takım, saldırganlar bulmadan kritik sorunları çözmek için Intruder’ün her zaman açık olan açıklık yönetimi platformuna güveniyor. API şemanızı yükleyin ve birkaç dakika içinde rahat bir nefes alın.
Kırık Yetkilendirme Eylemde: Autoswagger ile Bulunan Dört Gerçek API Açığı
Autoswagger’ı test ettik ve büyük Bug Bounty programlarından çeşitli hedefleri tarayarak ölçekli olarak savunmasız API’leri aradık.
İşte kırık yetkilendirmeyi gerçek hayatta nasıl göründüğüne dair birkaç örnek:
Microsoft MPN Kimlik Bilgileri:
Bir uç noktada “config” olarak adlandırılan bir açık tespit ettik. Bu, Microsoft Partner Programı veri depoları için kimlik bilgileri ve API anahtarlarını ifşa ediyordu. Açıkta, partnerlerin katıldığı kurslar ve sertifikalar da dahil olmak üzere kişisel bilgilerin bulunduğu geçerli bir Redis veritabanı kimlik bilgileri vardı.
Bu savunmasız uç nokta, altı katman derinlikte yer alıyordu (/1/dashboard/mpn/program/api/config/), bu da mekana tahminle ulaşmayı zorlaştırıyordu. Ancak API’nin OpenAPI şeması ifşa edildiği için tespit edildi.
60,000+ Salesforce Kaydı:
Bir başka durum, büyük bir teknoloji şirketindeki bir Salesforce örneğine bağlı bir API’nin savunmasızlığını içeriyordu. API, müşteri kayıtlarını – isimler, iletişim bilgileri ve ürün siparişleri – döndürüyor ve “ByDate” URL parametresini artırarak 1,000 kaydı topluca çıkarmaya olanak tanıyordu.
İç Eğitim Uygulamasında SQL Erişimi:
Ünlü bir içecek şirketinin, Azure Functions’da çalışan bir iç personel eğitim API’sinde, kimlik doğrulaması yapılmamış kullanıcıların veritabanında rastgele SQL sorguları çalıştırmasına izin veren bir açık bulduk.
Veriler iç eğitim kayıtlarıyla sınırlıydı, ancak bu durumda çalışan isimleri ve e-posta adresleri yer alıyordu. Bu tür detaylar, bir saldırganın ikna edici bir kimlik avı kampanyası hazırlaması için kullanılabilirdi.
Active Directory (AD) Numuneleme:
Son olarak, Autoswagger, CVE-2025-0589 olarak bilinen açığı tespit etti. Bu, kimlik doğrulaması yapılmamış bir saldırganın, AD’nin Octopus Deploy sunucusu ile entegre olması durumunda Active Directory kullanıcı bilgilerini numunelerle elde etmesini sağlıyordu.
Otomatik Belgeler = Saldırı Yüzeyi Riski
Otomatik API belgeleri, geliştiriciler için harikadır, ancak saldırganlar için de son derece faydalıdır. Bir API’nin şeması açık olduğunda, bu saldırganlara hedeflemeleri gereken her uç noktanın açık haritasını sunar. Bu harita olmadan, çoğu saldırgan ilgilenmez – uç noktaları körlemesine taramak çok daha fazla çaba gerektirir.
Belgeleri gizlemek, doğru API zafiyet yönetiminin bir yerine geçmez. Ancak, gereksiz yere kamuya açık belgelerin sergilenmesi gereksiz bir risk oluşturur. Bulduğumuz açıkların çoğu, asla kamuya açılması planlanmamış API’lerdeydi ama yine de belgeleri sızdırılmıştı.
Kendi ortamınıza bir göz atın: Eğer iç API’leriniz belgelenmiş ve internete açılmışsa, saldırganlara ihtiyaç duydukları her şeyi sunuyor olabilir.
Intruder, açık belgeleri de içeren geniş bir zafiyet yelpazesini tespit etmek için API uç noktalarını sürekli taramaktadır. API’lerinizi kontrol etmek için bugünden itibaren ücretsiz 14 günlük deneme sürümünü başlatın.
