Pular para conteúdo

Proteção BOLA

A seção Proteção BOLA da Wallarm Console UI permite configurar a mitigação de ataques BOLA (IDOR) direcionados aos endpoints da API explorados pelo módulo API Discovery.

Essa seção está disponível nas seguintes condições:

  • O módulo API Discovery está habilitado

  • A função do usuário é Administrador ou Administrador Global

    A seção também está disponível em modo somente leitura para Analistas e Analistas Globais.

Variações da mitigação BOLA

A mitigação BOLA está disponível nas seguintes variações:

  • Mitigação automatizada para os endpoints explorados pelo módulo API Discovery (a UI para configuração é abordada neste artigo)
  • Mitigação para quaisquer endpoints protegidos pelos nós Wallarm - essa opção é configurada manualmente através do disparador correspondente

Encontre mais detalhes nas instruções gerais sobre proteção BOLA (IDOR).

Configurando a proteção BOLA automatizada

Para a Wallarm analisar os endpoints explorados pelo módulo API Discovery quanto a vulnerabilidades BOLA e proteger aqueles que estão em risco, mude a chave para o estado habilitado.

Disparador BOLA

Depois, você pode ajustar o comportamento padrão do Wallarm editando o modelo de autodetecção BOLA da seguinte maneira:

  • Altere o limite para as solicitações do mesmo IP serem marcadas como ataques BOLA.

  • Altere a reação ao exceder o limite:

    • Denylist IP - Wallarm vai bloquear os IPs da fonte do ataque BOLA e assim bloquear todo o tráfego que esses IPs produzem.
    • Graylist IP - Wallarm vai incluir na lista cinza os IPs da fonte do ataque BOLA e assim bloquear apenas solicitações mal-intencionadas desses IPs e somente se o nó de filtragem estiver no modo de bloqueio seguro.

Disparador BOLA

Lógica de proteção BOLA automatizada

Uma vez habilitada a proteção BOLA, a Wallarm:

  1. Identifica os endpoints da API que são mais prováveis de serem alvo de ataques BOLA, por exemplo, aqueles com variabilidade nos parâmetros do caminho: domain.com/path1/path2/path3/{variative_path4}.

    Esta etapa leva um período de tempo

    A identificação de endpoints vulneráveis da API leva um período de tempo necessário para uma profunda observação do inventário da API descoberta e das tendências de tráfego de entrada.

    Apenas os endpoints da API explorados pelo módulo API Discovery são protegidos contra ataques BOLA de maneira automatizada. Os endpoints protegidos são destacados com o ícone correspondente.

  2. Protege os endpoints vulneráveis da API contra ataques BOLA. A lógica de proteção padrão é a seguinte:

    • Solicitações a um endpoint vulnerável que excedam o limite de 180 solicitações do mesmo IP por minuto são consideradas ataques BOLA.

    • Apenas registra ataques BOLA na lista de eventos quando o limite de solicitações do mesmo IP é atingido. A Wallarm não bloqueia ataques BOLA. As solicitações vão continuar chegando às suas aplicações.

      A reação correspondente no modelo de autoproteção é Apenas registrar ataques.

  3. Reage às alterações na API protegendo novos endpoints vulneráveis e desabilitando a proteção para endpoints removidos.

Desativando a proteção BOLA automatizada

Para desativar a proteção BOLA automatizada, mude a chave para o estado desativado na seção Proteção BOLA.

Quando a sua assinatura API Discovery expira, a proteção BOLA automatizada é desativada automaticamente.