Salt Security 在一家大型金融科技公司的数字平台中发现了一个漏洞，除了允许攻击者将资金转移到自己的账户外，该漏洞还可以授予攻击者对银行系统的管理员访问权限。

如果被利用，该漏洞还将暴露用户的个人数据和金融交易。

API 安全公司 Salt 的研究副总裁 Yaniv Balmas 告诉The Register ：“这个漏洞是一个严重的漏洞，它完全危害了每个银行用户。 ”

“如果不法分子发现了这个漏洞，他们可能会对金融科技公司及其用户造成严重损害。至少，攻击者可能会泄露个人账户和银行交易数据。”

alt Labs 的研究人员拒绝透露这家金融科技公司的名字，只说它位于美国，其在线银行服务平台被数十家银行和其他金融机构使用，这些银行和其他金融机构共同为数十万美国客户提供服务。

研究人员在一篇博文中写道，此类平台被专注于滥用 API 漏洞的攻击者视为主要目标。

他们写道：“他们的 API 环境和整体功能非常丰富和复杂，这给开发过程中的错误或忽略细节留下了很大的空间，”他们补充说，“如果一个不良行为者能够成功地滥用这种类型的平台，那么潜在的利润是巨大的，因为它可以控制数百万用户的银行账户和资金。”

Balmas 表示，随着越来越多的银行与金融科技提供商合作并将其传统服务转移到网上，这种攻击的威胁也在增加，这种趋势在 COVID-19 大流行期间只会加速。

“未来几年不提供在线服务的机构将很快变得无关紧要，”他说。“我还相信，由于开放银行的趋势缺乏当前保护 API 的标准化法规，因此围绕 API 保护的更广泛意识将成为该领域下一个重点关注的前沿领域。”

迁移到在线服务时，金融机构可以在内部创建框架，也可以依赖第三方供应商。无论哪种方式，服务都严重依赖 API。

“在当今世界，开发工作非常迅速，API 技术迅速出现，跟踪 API 并保护它们被证明是各种规模的组织面临的一项重大挑战，”Balmas 说。

“我们已经看到对这类潜在漏洞和威胁的认识有所提高，但 API 安全性仍远未达到最佳状态。”

第三方集成

在这种情况下，Salt Labs 研究人员专注于依赖金融科技平台的一家银行网站的外部交互。特别是，他们研究了 webhook 和第三方集成，这很重要，因为它们支持高级通知选项和资金转账等功能。

研究人员能够操纵平台中的 API 和 JWT 令牌——加密签名的密钥，让银行的服务器知道请求用户是谁以及他们拥有什么权限——在该服务器和 Salt Labs 运行的服务器之间建立连接。

使用用户提供的 URL，他们发现银行的服务器会联系他们提供的任意域。

他们写道：“我们伪造了一个包含我们自己域的格式错误的请求，交叉手指，然后等待。” “几秒钟后……宾果游戏！我们的服务器有一个连接。看到这个流量证实了我们的怀疑，这意味着服务器盲目地信任在这个参数中提供给它的域，并向那个 URL 发出请求。”

它会产生一个称为服务器端请求伪造 (SSRF) 的严重安全问题，当 Web 应用程序在未验证用户提供的 URL 的情况下获取远程资源时会发生这种问题。利用此漏洞的攻击者可以向银行应用程序发送信息请求。这是威胁参与者访问防火墙后面且无法通过外部网络访问的服务器的一种方式。

据网络安全公司 Acunetix 称，2019 年 Capital One 和其他人入侵 Microsoft Exchange 服务器涉及使用SSRF 作为入侵技术之一。

注意用户控制的输入

该公司表示，虽然 SSRF 漏洞平均存在于 1% 的 Web 应用程序中，但这是一个可能导致一系列安全漏洞的危险漏洞。

在这种情况下，研究人员能够让银行的应用程序返回银行系统上每个用户的列表以及相关详细信息。他们还能够获得每个用户进行的每笔交易的另一个列表。

他们联系了这家金融科技公司，该公司已经解决了 Salt Labs 团队提出的所有问题。然而，该研究对用户控制输入提出了警告，这是本案的关键罪魁祸首，Balmas 说。

“这些参数永远不应该被盲目信任，”他说。“软件和 API 开发人员应始终确保对任何用户输入应用尽可能多的保护，尤其是当输入值容易受到攻击时，例如可能导致 SSRF 或其他漏洞类的 URL 值。”

他说，最有效的保护是静态保护（例如基本卫生或白名单）和可识别 API 流量异常的运行时保护的组合。这样做会缩小对静态方法的差距或绕过。