|
1 | | -API9:2019 Improper Assets Management |
2 | | -==================================== |
| 1 | +<h2 dir='rtl' align='right'> API9:2019 خلل في ادارة الاصول </h2> |
3 | 2 |
|
4 | | -| Threat agents/Attack vectors | Security Weakness | Impacts | |
5 | | -| - | - | - | |
6 | | -| API Specific : Exploitability **3** | Prevalence **3** : Detectability **2** | Technical **2** : Business Specific | |
7 | | -| Old API versions are usually unpatched and are an easy way to compromise systems without having to fight state-of-the-art security mechanisms, which might be in place to protect the most recent API versions. | Outdated documentation makes it more difficult to find and/or fix vulnerabilities. Lack of assets inventory and retire strategies leads to running unpatched systems, resulting in leakage of sensitive data. It’s common to find unnecessarily exposed API hosts because of modern concepts like microservices, which make applications easy to deploy and independent (e.g., cloud computing, k8s). | Attackers may gain access to sensitive data, or even takeover the server through old, unpatched API versions connected to the same database. | |
| 3 | +<table dir='rtl' align="right"> |
| 4 | + <tr> |
| 5 | + <th>عوامل التهديد/ الاستغلال </th> |
| 6 | + <th> نقاط الضعف </th> |
| 7 | + <th> التأثير </th> |
| 8 | + <tr> |
| 9 | + <td> خصائص API : قابلية الاستغلال </td> |
| 10 | + <td> الانتشار : 3 قابلية الاكتشاف : 2 </td> |
| 11 | + <td> التأثر التقني و تأثر الاعمال: 2 </td> |
| 12 | + </tr> |
| 13 | + <td> ان استخدام واجهة برمجة التطبيقات القديمة و الغير محدثة هو اسهل طريقة تسبب اختراق الأنظمة لديك دون الحاجة والجهد الذي قد يبذلها المهاجم حتى وان كانت أدوات ومكونات الأمان تم ايجادها بشكل صحيح وسليم، ولكن جميع تلك الأدوات والمكونات وجدت للأنظمة الحديثة و المتطورة من واجهة برمجة التطبيقات API.</td> |
| 14 | + <td> ان عمليات التوثيق الغير محدثة تجعل من الصعب تتبع واصلاح الثغرات. وكذلك عدم جرد الأصول التقنية يؤدي بشكل مباشر الى عدم ترقيع الأنظمة من الثغرات الأمنية، والذي قد يؤدي الى تسريب للبيانات. وكما انه من الشائع رصد واجهة برمجة التطبيقات API متاحة على الانترنت دون الحاجة لها بسبب الأنظمة والمفاهيم الحديثة في الخدمات المصفرة والتي تجعل من التطبيقات سهلة النشر ومستقلة على سبيل المثال (الحوسبة السحابية) </td> |
| 15 | + <td> قد يتمكن المهاجمون من الوصول الى بيانات حساسة غير مصرح لهم بالوصول لها، او حتى اختراق الخادم من خلال استغلال احد الثغرات الغير مرقعه لخدمات واجهة برمجة التطبيقات API والتي تستخدم للاتصال بقاعدة البيانات. </td> |
| 16 | + </tr> |
| 17 | + </table> |
8 | 18 |
|
9 | | -## Is the API Vulnerable? |
10 | 19 |
|
11 | | -The API might be vulnerable if: |
| 20 | +<h3 dir='rtl' align='right'>هل أنا معرض لهذه الثغرة؟</h3> |
12 | 21 |
|
13 | | -* The purpose of an API host is unclear, and there are no explicit answers to |
14 | | - the following questions: |
15 | | - * Which environment is the API running in (e.g., production, staging, test, |
16 | | - development)? |
17 | | - * Who should have network access to the API (e.g., public, internal, partners)? |
18 | | - * Which API version is running? |
19 | | - * What data is gathered and processed by the API (e.g., PII)? |
20 | | - * What's the data flow? |
21 | | -* There is no documentation, or the existing documentation is not updated. |
22 | | -* There is no retirement plan for each API version. |
23 | | -* Hosts inventory is missing or outdated. |
24 | | -* Integrated services inventory, either first- or third-party, is missing or |
25 | | - outdated. |
26 | | -* Old or previous API versions are running unpatched. |
| 22 | +<p dir='rtl' align='right'> قد يكون معرض واجهة برمجة التطبيقات لمثل هذه الثغره في حالة : |
27 | 23 |
|
| 24 | +<p dir='rtl' align='right'>▪️ الغرض من استخدام واجهة برمجة التطبيقات غير واضح والذي قد يقود للأسئلة التالية: |
| 25 | +<p dir='rtl' align='right'> - ما هي البيئة التي تعمل فيها واجهة برمجة التطبيقات (على سبيل المثال ، الإنتاج ، التدريج ، الاختبار ، التطوير)؟ |
| 26 | +<p dir='rtl' align='right'> - من المخول للوصول الى الشبكة الخاصة بواجهة برمجة التطبيقات (على سبيل المثال ، عام ، داخلي ، شركاء)؟ |
| 27 | +<p dir='rtl' align='right'> - ما هو إصدار API المستخدم ؟ |
| 28 | +<p dir='rtl' align='right'> - ماهي البيانات التي يتم جمعها بواسطة API؟ وهل هي بيانات شخصية؟ |
| 29 | +<p dir='rtl' align='right'> - ماهي آلية وسير العمليات ؟ |
| 30 | +<p dir='rtl' align='right'>▪️ |
| 31 | +<p dir='rtl' align='right'>▪️ |
| 32 | +<p dir='rtl' align='right'>▪️ |
| 33 | +<p dir='rtl' align='right'>▪️ |
| 34 | + |
28 | 35 | ## Example Attack Scenarios |
29 | 36 |
|
30 | 37 | ### Scenario #1 |
|
0 commit comments