OpenAPI の暗号化されていないトラフィックの許可
high Web Application Scanning プラグイン ID 113143
言語:
概要
OpenAPI の暗号化されていないトラフィックの許可説明
OpenAPI 仕様は、REST API の API 記述形式です。OpenAPI ファイルは YAML または JSON で記述され、利用可能なエンドポイントや関連する操作や認証メソッドなど、すべての API プロパティを記述します。Web アプリケーションについては、暗号化されていないプロトコルの API へのアクセスを許可すると、API に対して中間者攻撃 (MITM) が可能になり、トラフィックの機密性と整合性の両方に影響が及びます。スキャナーが OpenAPI ファイルを分析し、使用された API エンドポイント URL が暗号化されていないことを検出しました。
ソリューション
API エンドポイントが暗号化ベースのプロトコル (HTTPS または WebSocket セキュア (WSS)) でのみ利用可能であることを確認し、OpenAPI 仕様を更新します。関連情報
https://swagger.io/docs/specification/2-0/api-host-and-base-path/
https://swagger.io/docs/specification/api-host-and-base-path/
https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
プラグインの詳細
深刻度: High
ID: 113143
タイプ: remote
ファミリー: SSL/TLS
公開日: 2022/2/16
更新日: 2023/3/28
スキャン テンプレート: api, scan, pci, basic, full
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
Base Score: 7.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS スコアのソース: Tenable
CVSS v3
リスクファクター: High
Base Score: 7.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS スコアのソース: Tenable
参照情報
CWE: 319
WASC: Insufficient Transport Layer Protection
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A2
OWASP ASVS: 4.0.2-9.1.1
PCI-DSS: 3.2-6.5.4
ISO: 27001-A.10.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.5
NIST: sp800_53-SC-13
HIPAA: 164.312(a), 164.312(e)
DISA STIG: APSC-DV-000170
OWASP API: 2019-API7