• (+84) 939 586 168
  • info@unitas.vn
  • HOME
  • HÃNG
    • COMMVAULT
      • Commvault Backup & Recovery
      • Commvault Disaster Recovery
      • Commvault Complete Data Protection
    • EXAGRID
    • DDN
      • DDN AI Storage Appliances
      • DDN Fastest Filesystem
      • DDN Analytics And Data Management
      • DDN Detailed Monitoring Software
      • DDN Unfied SAN And NAS
      • DDN Storage Platforms Built To Scale
    • TINTRI
    • NEXSAN
      • Nexsan Assureon
      • Nexsan E-Series
      • Nexsan BEAST
      • Nexsan Unity
    • KELA CYBER
    • ULTRA RED
    • SAFOUS
    • LOGIC MONITOR
    • HACKUITY
    • F-SECURE
      • F-Secure Internet Security
      • F-Secure VPN
      • F-Secure ID Protection
      • F-Secure Total
    • MINIO
    • OUTSYSTEMS
    • THREATDOWN
    • QUOKKA
      • Quokka Qmast
      • Quokka Qvet
    • CYMETRICS
    • CYABRA
    • NETGAIN
  • GIẢI PHÁP
    • Backup, Recovery & Disaster Recovery
      • COMMVAULT
      • EXAGRID
    • Infrastructure
      • EXAGRID
      • NEXSAN
      • DDN
      • TINTRI
      • MINIO
      • LOGIC MONITOR
      • NETGAIN
    • Cyber Security
      • KELA CYBER
      • ULTRA RED
      • QUOKKA
      • SAFOUS
      • HACKUITY
      • CYABRA
      • CYMETRICS
      • THREATDOWN
      • F-SECURE
  • DỊCH VỤ
    • Đào tạo
    • Tư vấn CNTT
    • Tài liệu
    • Hỗ trợ kỹ thuật bảo hành
    • Đánh giá tối ưu hạ tầng CNTT
    • Đào tạo và triển khai hệ thống
    • Tư vấn thiết kế giải pháp
  • TIN TỨC
    • Tin tức mới
    • Bài viết
    • Tuyển dụng
  • CÔNG TY
    • Về chúng tôi
    • Đối tác
  • LIÊN HỆ
Menu
  • HOME
  • HÃNG
    • COMMVAULT
      • Commvault Backup & Recovery
      • Commvault Disaster Recovery
      • Commvault Complete Data Protection
    • EXAGRID
    • DDN
      • DDN AI Storage Appliances
      • DDN Fastest Filesystem
      • DDN Analytics And Data Management
      • DDN Detailed Monitoring Software
      • DDN Unfied SAN And NAS
      • DDN Storage Platforms Built To Scale
    • TINTRI
    • NEXSAN
      • Nexsan Assureon
      • Nexsan E-Series
      • Nexsan BEAST
      • Nexsan Unity
    • KELA CYBER
    • ULTRA RED
    • SAFOUS
    • LOGIC MONITOR
    • HACKUITY
    • F-SECURE
      • F-Secure Internet Security
      • F-Secure VPN
      • F-Secure ID Protection
      • F-Secure Total
    • MINIO
    • OUTSYSTEMS
    • THREATDOWN
    • QUOKKA
      • Quokka Qmast
      • Quokka Qvet
    • CYMETRICS
    • CYABRA
    • NETGAIN
  • GIẢI PHÁP
    • Backup, Recovery & Disaster Recovery
      • COMMVAULT
      • EXAGRID
    • Infrastructure
      • EXAGRID
      • NEXSAN
      • DDN
      • TINTRI
      • MINIO
      • LOGIC MONITOR
      • NETGAIN
    • Cyber Security
      • KELA CYBER
      • ULTRA RED
      • QUOKKA
      • SAFOUS
      • HACKUITY
      • CYABRA
      • CYMETRICS
      • THREATDOWN
      • F-SECURE
  • DỊCH VỤ
    • Đào tạo
    • Tư vấn CNTT
    • Tài liệu
    • Hỗ trợ kỹ thuật bảo hành
    • Đánh giá tối ưu hạ tầng CNTT
    • Đào tạo và triển khai hệ thống
    • Tư vấn thiết kế giải pháp
  • TIN TỨC
    • Tin tức mới
    • Bài viết
    • Tuyển dụng
  • CÔNG TY
    • Về chúng tôi
    • Đối tác
  • LIÊN HỆ
  • (+84) 939 586 168
  • info@unitas.vn
logo unitas final1-01
  • HOME
  • HÃNG
    • COMMVAULT
      • Commvault Backup & Recovery
      • Commvault Disaster Recovery
      • Commvault Complete Data Protection
    • EXAGRID
    • DDN
      • DDN AI Storage Appliances
      • DDN Fastest Filesystem
      • DDN Analytics And Data Management
      • DDN Detailed Monitoring Software
      • DDN Unfied SAN And NAS
      • DDN Storage Platforms Built To Scale
    • TINTRI
    • NEXSAN
      • Nexsan Assureon
      • Nexsan E-Series
      • Nexsan BEAST
      • Nexsan Unity
    • KELA CYBER
    • ULTRA RED
    • SAFOUS
    • LOGIC MONITOR
    • HACKUITY
    • F-SECURE
      • F-Secure Internet Security
      • F-Secure VPN
      • F-Secure ID Protection
      • F-Secure Total
    • MINIO
    • OUTSYSTEMS
    • THREATDOWN
    • QUOKKA
      • Quokka Qmast
      • Quokka Qvet
    • CYMETRICS
    • CYABRA
    • NETGAIN
  • GIẢI PHÁP
    • Backup, Recovery & Disaster Recovery
      • COMMVAULT
      • EXAGRID
    • Infrastructure
      • EXAGRID
      • NEXSAN
      • DDN
      • TINTRI
      • MINIO
      • LOGIC MONITOR
      • NETGAIN
    • Cyber Security
      • KELA CYBER
      • ULTRA RED
      • QUOKKA
      • SAFOUS
      • HACKUITY
      • CYABRA
      • CYMETRICS
      • THREATDOWN
      • F-SECURE
  • DỊCH VỤ
    • Đào tạo
    • Tư vấn CNTT
    • Tài liệu
    • Hỗ trợ kỹ thuật bảo hành
    • Đánh giá tối ưu hạ tầng CNTT
    • Đào tạo và triển khai hệ thống
    • Tư vấn thiết kế giải pháp
  • TIN TỨC
    • Tin tức mới
    • Bài viết
    • Tuyển dụng
  • CÔNG TY
    • Về chúng tôi
    • Đối tác
  • LIÊN HỆ
  • Bài viết
  • Tăng cường bảo mật API: Nhận diện lỗ hổng và các mối đe dọa mới nổi
August 8, 2025

Tăng cường bảo mật API: Nhận diện lỗ hổng và các mối đe dọa mới nổi

Giới thiệu

Trong thế giới kết nối ngày nay, APIs (Application Programming Interfaces) là xương sống của giao tiếp kỹ thuật số, cho phép các hệ thống phần mềm tương tác liền mạch với nhau. Từ ứng dụng di động đến dịch vụ đám mây, API tạo điều kiện cho việc trao đổi dữ liệu và dịch vụ một cách nhanh chóng. Tuy nhiên, khi API ngày càng trở nên quan trọng, thì các rủi ro liên quan cũng gia tăng. Tần suất xuất hiện các vụ vi phạm bảo mật liên quan đến API càng nhấn mạnh sự cần thiết của các biện pháp bảo mật vững chắc.

API là gì?

API cho phép các thành phần phần mềm khác nhau giao tiếp với nhau, đóng vai trò như cầu nối giữa các hệ thống. Chúng tạo điều kiện cho việc xây dựng các ứng dụng phức tạp thông qua việc cung cấp một tập hợp các giao thức và công cụ để phát triển phần mềm. API rất quan trọng trong hoạt động của dịch vụ web, ứng dụng di động, thiết bị IoT, và nhiều hơn nữa. Tuy nhiên, việc sử dụng rộng rãi cũng khiến API trở thành mục tiêu lý tưởng của các cuộc tấn công.

Những lỗ hổng API phổ biến

Theo OWASP API Security Top 10, những lỗ hổng thường gặp nhất bao gồm:

  1. Broken Object Level Authorization (BOLA) – xảy ra khi API không kiểm soát truy cập đúng cách, cho phép kẻ tấn công truy cập hoặc sửa đổi dữ liệu không được phép.
  2. Broken Authentication – khi cơ chế xác thực yếu, dẫn đến truy cập trái phép
  3. Excessive Data Exposure – API thường hiển thị nhiều dữ liệu hơn cần thiết, khiến thông tin nhạy cảm bị lộ.
  4. Security Misconfigurations – cấu hình mặc định, không đầy đủ hoặc sai, khiến API dễ bị tấn công.
  5. Injection Attacks – dữ liệu độc hại được gửi đến API, dẫn đến các khai thác như SQL injection, command injection, v.v.
  6. Server-Side Request Forgery (SSRF) – khi kẻ tấn công thao túng API để yêu cầu phía server gửi request đến các đích không mong muốn

Đi sâu hơn: BOLA và BFLA

  • Broken Object Level Authorization (BOLA): là lỗ hổng nghiêm trọng trong bảo mật API. Khi API không kiểm tra đúng quyền truy cập, kẻ tấn công có thể truy cập hoặc thao tác dữ liệu không được phép. Chẳng hạn, chỉ cần thay đổi một ID trong yêu cầu API để truy cập dữ liệu của người khác là dấu hiệu của BOLA.
  • Broken Function Level Authorization (BFLA): khác với BOLA (giới hạn ở truy cập dữ liệu), BFLA liên quan đến quyền thực thi chức năng cao hơn. Lỗ hổng này cho phép người dùng không được phép thực hiện các thao tác nhạy cảm.

Tài liệu và các định nghĩa API

Hiểu rõ các công cụ và tiêu chuẩn dùng để định nghĩa, tài liệu hóa và tương tác với API là rất quan trọng — tuy nhiên, để tài liệu API “mở”, công khai mà không có biện pháp kiểm soát phù hợp là rủi ro lớn. Dưới đây là một số tiêu chuẩn và công cụ phổ biến, thường được dùng để tự động tạo tài liệu API:

  • Swagger: khung framework để thiết kế, xây dựng và tài liệu hóa RESTful API. Định nghĩa API theo định dạng tiêu chuẩn, dễ tạo tài liệu tương tác và thư viện khách hàng; giao diện thân thiện giúp kiểm thử API dễ dàng.
  • OpenAPI Specification (OAS): tiêu chuẩn định nghĩa RESTful API, mô tả endpoint, định dạng request/response, phương thức xác thực. OpenAPI mở rộng Swagger và là chuẩn ngành phổ biến, đảm bảo tính nhất quán và rõ ràng.
  • WSDL (Web Services Description Language): ngôn ngữ XML dùng để mô tả dịch vụ web, đặc biệt với SOAP. Định nghĩa các thao tác cung cấp, thông điệp chấp nhận/trả về và binding. Mặc dù thường liên quan đến dịch vụ doanh nghiệp truyền thống, WSDL vẫn có vai trò trong môi trường enterprise.
  • ASP.NET Web API Help Page: tính năng tích hợp trong ASP.NET giúp tự động tạo trang trợ giúp cho API, cung cấp thông tin chi tiết về endpoint, mô tả tham số và mẫu response.
  • GraphQL Introspection: cho phép client truy vấn schema của GraphQL API — lấy thông tin chi tiết về type, field và operation trực tiếp từ API, giúp truy vấn động và hiểu rõ khả năng API.

Rủi ro khi để tài liệu API bị lộ

Dù tài liệu API rất cần thiết cho developer, nếu để lộ công khai mà không kiểm soát, hệ thống có thể đối mặt với nhiều rủi ro như Disclosure thông tin, Unauthorized Access, Injection, v.v.

Case Study: Các lỗ hổng được ULTRA RED phát hiện tự động:

  • CVE-2023-39375: lỗ hổng BOLA, kiểm tra quyền không đúng cho phép attacker chưa xác thực tạo user admin mới.
  • CVE-2023-39376: lỗ hổng BOLA khác, cho phép attacker chưa xác thực vô hiệu hoá các biện pháp bảo mật của ứng dụng.
  • CVE-2024-41702: lỗ hổng SQL Injection tại endpoint login API, JSON object injection khiến dữ liệu chưa được sanitize được truyền vào truy vấn SQL.
  • PII Exposure: lỗ hổng BFLA cho phép attacker truy cập tài nguyên của người dùng khác — cụ thể là nhân viên của một công ty lớn — và lộ PII nhạy cảm, bao gồm PHI (Protected Health Information).

Vector – SSRF (Server-Side Request Forgery)

  • Tóm tắt: SSRF có thể đặc biệt nguy hiểm nếu là SSRF phản chiếu. Trong trường hợp này, có thể sử dụng SSRF để truy cập metadata từ cloud và xâm nhập môi trường đám mây của khách hàng.
  • Phát hiện: hệ thống tự động phân tích API Definitions và quét các endpoint để phát hiện lỗ hổng. Không may cho khách hàng, một request API đã tiết lộ lỗ hổng nghiêm trọng. 
  • Lỗ hổng cho phép attacker gửi email đến người dùng khác, từ máy chủ mail đáng tin cậy của vendor API. Thử nghiệm với parameter hỗ trợ SSRF đã thành công.
  • Thậm chí, attacker có thể đính kèm file trong mỗi email bằng cách gửi danh sách URL. Endpoint /api/Email/Send Email có các tham số Address, Emails, CCs, BCCs. Trong thử nghiệm, sử dụng domain do Interactsh sinh tạo địa chỉ giả.
  • Họ test các endpoint thú vị như AWS metadata (http://169.254.169.254/latest/meta-data) làm attachment — request thành công, trả về isSuccess = true.

  • Sử dụng Interactsh kiểm tra file được gửi, phát hiện tương tác SMTP.
  •  SSRF cấp hai (second-order SSRF) được tìm thấy! Trong verbose mode, thấy nội dung được mã hoá base64. 

  • Giải mã cho thấy truy cập thành công metadata của instance.

Cách bảo mật API

Để giảm thiểu các lỗ hổng này, sau đây là một số best practices cần áp dụng:

  • Triển khai cơ chế authentication và authorization mạnh mẽ
  • Tuân thủ nguyên tắc least privilege để giới hạn truy cập
  • Validate và sanitize all inputs để ngăn injection attack
  • Sử dụng rate limiting và monitoring để phát hiện hoạt động bất thường
  • Cập nhật thường xuyên và patch API để xử lý lỗ hổng đã biết
  • Triển khai công cụ scan (như ULTRA RED) để tự động phát hiện lỗ hổng mới và cũ. 

Kết luận

Khi API ngày càng mở rộng và là trung tâm kết nối kỹ thuật số, bảo mật API trở nên thiết yếu hơn bao giờ hết. Bằng cách hiểu rõ các lỗ hổng phổ biến theo OWASP API Top 10 và áp dụng các biện pháp bảo mật mạnh mẽ, tổ chức có thể bảo vệ tài sản số và đảm bảo API luôn an toàn. 

Thông tin hãng cung cấp giải pháp:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!

TIN TỨC TRƯỚC Commvault – Hành Trình Tự Nhiên Trong Thời Đại AI và Multi-Cloud TIN TIẾP THEO Vai trò của MSP trong bảo mật cho doanh nghiệp vừa và nhỏ (SME)

Tin tức mới nhất

Khởi tạo hệ sinh thái lưu trữ dữ liệu AI cùng MinIO Partner Program

29 August, 2025

Giới thiệu OneView: Dùng thử miễn phí — Độc lập cho MSP

29 August, 2025

Troubleshoot nhanh hơn với LogicMonitor Logs

29 August, 2025

Từ phản ứng sang chủ động: Tận dụng Tintri Analytics để tối ưu vận hành IT

29 August, 2025

Hạ tầng dữ liệu tối ưu hoá bằng AI cho khoa học đời sống: Thúc đẩy di truyền học, hình ảnh và khám phá thuốc

29 August, 2025

Tags

  • Commvault
  • Cyabra
  • DDN
  • ExaGrid
  • F-Secure
  • HACKUITY
  • Kela
  • LogicMonitor
  • Logic Monitor
  • Micas
  • MINIO
  • NetGain
  • NEXSAN
  • nhân viên phát triển thị trường
  • Quokka
  • Safous
  • Sling
  • ThreatDown
  • Tintri
  • Tuyển dụng
  • ULTRARED
  • UNITAS
  • VergeIO
  • Workshop
  • đối tác

Danh mục

  • Bài viết
  • Tin tức
  • Tuyển dụng
Lưu trữ
  • August 2025
  • July 2025
  • June 2025
  • May 2025
  • April 2025
  • March 2025
  • February 2025
  • January 2025
  • December 2024
  • October 2024
  • August 2024
  • July 2024
  • May 2024
  • March 2024
  • January 2024
  • October 2023
  • September 2023
  • August 2023
  • June 2023
  • May 2023
  • April 2023
  • July 2022
  • June 2022
  • November 2021
  • October 2021
  • May 2021
  • April 2021

Post: Tăng cường bảo mật API: Nhận diện lỗ hổng và các mối đe dọa mới nổi

Post: Tăng cường bảo mật API: Nhận diện lỗ hổng và các mối đe dọa mới nổi

Post: Tăng cường bảo mật API: Nhận diện lỗ hổng và các mối đe dọa mới nổi

Giải pháp hoàn hảo cho an toàn dữ liệu

Unitas là nhà phân phối ủy quyền của các hãng công nghệ Commvault, ExaGrid, DDN, Tintri, Nexsan, Kela, UltraRed, Hackuity, VergeIO, Safous, LogicMonitor, F-Secure, MinIO, OutSystems...
Gửi yêu cầu tư vấn, Demo, PoC

Unitas Việt Nam

Trụ sở Hồ Chí Minh

  • 97-99-101 Nguyễn Công Trứ, P. Sài Gòn, TP. Hồ Chí Minh.
  • (+84) 939 586 168
  • info@unitas.vn

Chi nhánh Hà Nội

  • Tầng 5, số 17, Ngõ 167 Tây Sơn, P. Kim Liên, TP. Hà Nội
  • (+84) 939 586 168
  • info@unitas.vn

Các liên kiết

  • Về chúng tôi
  • Đối tác
  • Tuyển dụng
  • Liên Hệ
Menu
  • Về chúng tôi
  • Đối tác
  • Tuyển dụng
  • Liên Hệ
Bản quyền © 2024 bởi Unitas Việt Nam.