Seguridad de APIs en Drupal: herramientas, mejores prácticas y estrategias para asegurar las APIs

Transcript

1. Seguridad de APIs en Drupal: herramientas, mejores prácticas y estrategias

   para asegurar las APIs José Manuel Ortega [email protected]

2. Agenda • Introducir el concepto de seguridad en las APIs

   • OWASP Top 10 y su importancia para la seguridad en APIs • Herramientas para evaluar y mejorar la seguridad • Módulos y herramientas de seguridad en Drupal • Estrategias y mejores prácticas para garantizar la seguridad de tus APIs.

3. Introducir el concepto de seguridad en las APIs • Amenazas

   comunes a la seguridad de las API ◦ Ataques de inyección ◦ Ataques man-in-the-middle (MITM) ◦ Ataques denegación de servicio distribuida (DDoS) ◦ Ataques de control de acceso a las aplicaciones

4. hps://owasp.org/API -Security/editions/20 23/en/0x00-header

5. OWASP Top 10 y su importancia para la seguridad en

   APIs

6. Actualización del OWASP Top 10 security en 2023

7. 1.Broken Object Level Authorization – Autorización a nivel de objeto

   rota

8. 1.Broken Object Level Authorization – Autorización a nivel de objeto

   rota

9. 1.Broken Object Level Authorization – Autorización a nivel de objeto

   rota

10. 2.Broken Authentication – Autenticación rota POST /graphql { "query":"mutation {

    login (username:\"<username>\",password:\"<password>\") { token } }" }

11. 2.Broken Authentication – Autenticación rota https://api.example.com/v1.1/users/payment/show?user_id=12&access _token=360f91d065e56a15a0d9a0b4e170967b

12. 2.Broken Authentication – Autenticación rota

13. 3.Broken Object Property Level Authorization – Autorización de nivel de

    propiedad de objeto rota https://api.example.com/v1.1/users/show?user_id=12 { "id": 6253282, "username": "vickieli7", "screen_name": "Vickie", "location": "San Francisco, CA", "bio": "Infosec nerd. Hacks and secures. Creates god awful infographics.", "api_token": "8a48c14b04d94d81ca484e8f32daf6dc", "phone_number": "123-456-7890", "address": "1 Main St, San Francisco, CA, USA" }

14. 5.Broken Function Level Authorization – Autorización rota a nivel de

    función

15. 7.Server Side Request Forgery – Falsificación de peticiones del lado

    del servidor

16. 7.Server Side Request Forgery – Falsificación de peticiones del lado

    del servidor • Validación de entrada de usuario • Listas blancas de direcciones y recursos permitidos • Limitar permisos y aplicar el principio de mínimo privilegio.

17. Herramientas para evaluar y mejorar la seguridad

18. Herramientas para evaluar y mejorar la seguridad

19. Herramientas para evaluar y mejorar la seguridad

20. Herramientas para evaluar y mejorar la seguridad

21. Herramientas para evaluar y mejorar la seguridad

22. Herramientas para evaluar y mejorar la seguridad

23. Herramientas para evaluar y mejorar la seguridad

24. Herramientas para evaluar y mejorar la seguridad

25. Herramientas para evaluar y mejorar la seguridad

26. Herramientas para evaluar y mejorar la seguridad

27. Seguridad en Drupal • Control de acceso basado en roles

    (RBAC) • Cifrado de la base de datos • Detección de ataques por fuerza bruta ◦ Bloqueo dirección IP ◦ Bloqueo cuenta de usuario

28. Seguridad en Drupal • Two-Factor Authentication (2FA) ◦ https://www.drupal.org/project/tfa •

    Password Policy ◦ https://www.drupal.org/project/password_policy • Automated Logout ◦ https://www.drupal.org/project/autologout

29. Seguridad en Drupal ◦ https://www.drupal.org/project/seckit

30. Seguridad en Drupal

31. Seguridad en Drupal • Username Enumeration Prevention ◦ https://www.drupal.org/project/username_enum eration_prevention

    ◦ Convierte las respuestas 403 Acceso denegado en 404 Usuario no encontrado

32. Drupal REST & JSON API Authentication module • Múltiples métodos

    de autenticación: ◦ Token-based authentication (JWT, OAuth2, API keys) ◦ Basic Authentication (usuario y contraseña en el encabezado) ◦ Cookie-based authentication (útil en contextos donde se usa sesión de usuario) • Compatibilidad con las APIs estándar de Drupal: ◦ JSON API: Un estándar que permite interactuar con los recursos de Drupal en formato JSON. ◦ REST API: Permite acceso a los recursos con control granular sobre qué entidades se exponen y cómo se gestionan. • Integración con roles y permisos: Controla qué usuarios o roles pueden acceder a ciertas rutas API, limitando el acceso a recursos sensibles. https://www.drupal.org/project/rest_api_authentication

33. Drupal REST & JSON API Authentication module https://plugins.miniorange.com/drupal-api- authentication#jwt-authentication

34. Drupal REST & JSON API Authentication module

35. JWT module https://git.drupalcode.org/project/jwt

36. Simple OAuth (OAuth2) & OpenID Connect https://git.drupalcode.org/project/simple_oauth • OAuth2 es

    un protocolo de autorización que permite que aplicaciones externas accedan a recursos en un servidor de manera segura sin compartir las credenciales del usuario directamente. • Tokens de acceso personalizados:Proporciona tokens Bearer que las aplicaciones clientes pueden usar para acceder a recursos de Drupal. • Autorización sin sesión: Permite acceder a los recursos mediante tokens sin necesidad de mantener una sesión activa de usuario. • Compatibilidad con roles y permisos: Los permisos para acceder a recursos vía API se asignan de acuerdo al rol del usuario autenticado con el token.

37. OAuth vs JWT OAuth JWT Propósito Protocolo de autorización Formato

    de token para transmisión segura Usado para Delegar permisos a una aplicación para acceder a recursos Transmitir datos de autenticación o autorización Autenticación OAuth por sí mismo no autentica al usuario, se usa para autorización Utilizado para autenticación (y también autorización) Control sobre recursos Permite un control más granular sobre los permisos de acceso Solo transmite información, no tiene control sobre recursos Revocación de tokens Los tokens pueden ser revocados No hay un mecanismo fácil para revocar un JWT una vez emitido

38. Estrategias y mejores prácticas para garantizar la seguridad de tus

    APIs • Implementar comprobaciones de autorización a nivel de objeto y considerar la posibilidad de utilizar ID de objetos generados aleatoriamente. • Asignar y aplicar privilegios en funciones que requieran confidencialidad. • Establecer límites al tamaño de las peticiones, las frecuencias y a qué pueden acceder los usuarios. • Imponer restricciones a los flujos de llamadas que podrían ser el origen de un ataque si se usan en exceso. • Evitar configuraciones inseguras cuando sea posible. • Documentar los servicios y actualizar estos catálogos periódicamente.

39. Estrategias y mejores prácticas para garantizar la seguridad de tus

    APIs • Mejorar la gobernanza de las APIs • Utilizar herramientas de descubrimiento de APIs • Desplegar una pasarela de APIs • Añadir un firewall de aplicaciones web (WAF) • Cifrar todos los datos (mediante TLS, por ejemplo) • Utilizar JWT/OAuth para controlar el acceso de la APIs • Considerar un enfoque de confianza cero o zero trust
40. None
41. None

42. Gracias Thanks