As APIs são a espinha dorsal das aplicações modernas - e uma das partes mais expostas da infraestrutura de uma organização.
Isso as torna um alvo primário para atacantes.
Um dos exemplos de maior destaque foi o vazamento da Optus em 2022, onde atacantes roubaram milhões de registros de clientes por meio de um endpoint de API não autenticado - custando à empresa de telecomunicações $140 milhões AUD em consequências.
Preocupantemente, vulnerabilidades como essa são tão fáceis de explorar que você poderia ensinar alguém sem nenhum conhecimento técnico a fazer isso em um dia.
E três anos depois, a equipe de segurança da Intruder ainda está encontrando os mesmos problemas nas APIs de grandes organizações - incluindo membros do S&P 500.
É por isso que criamos o Autoswagger - uma ferramenta gratuita e de código aberto que escaneia APIs em busca de falhas de autorização quebrada.
Continue lendo para ver como ela funciona e algumas das questões mais surpreendentes que ela descobriu quando a colocamos à prova.
O Autoswagger escaneia domínios para detectar documentação de API exposta - como esquemas OpenAPI ou Swagger - e então os analisa para gerar uma lista de endpoints para testar.
Ele envia solicitações usando parâmetros válidos da documentação e sinaliza qualquer endpoint que retorne dados sem o devido controle de acesso (ou seja, sem 401 ou 403).
Se uma resposta inclui dados sensíveis - como credenciais ou informações pessoais identificáveis (PII) - e o endpoint não está devidamente protegido, ele é sinalizado na saída.
O Autoswagger é gratuito para baixar e instalar via GitHub.
Para testes mais avançados, o Autoswagger pode ser executado com a flag --brute para tentar contornar verificações de validação.
Isso ajuda a descobrir falhas em endpoints que rejeitam entradas genéricas, mas aceitam formatos de dados específicos ou valores.
Colocamos o Autoswagger à prova em alvos de vários grandes programas de Bug Bounty, buscando APIs vulneráveis em larga escala.
Aqui estão alguns exemplos reais para mostrar como a autorização quebrada parece na prática.
Credenciais do Microsoft MPN
Uma vulnerabilidade que encontramos estava em um endpoint simplesmente chamado ‘config’, que expunha credenciais e chaves de API para armazenamentos de dados do Programa de Parceiros da Microsoft.
Entre os dados expostos estava um conjunto válido de credenciais para um banco de dados Redis contendo o PII dos parceiros, incluindo os cursos e certificações que eles haviam realizado.
O endpoint vulnerável estava enterrado seis camadas abaixo (/1/dashboard/mpn/program/api/config/), tornando-o quase impossível de adivinhar ou descobrir através de força bruta - só foi identificado porque o esquema OpenAPI da API estava exposto.
Mais de 60.000 Registros da Salesforce
Outro caso envolveu uma API conectada a uma instância da Salesforce em uma grande empresa de tecnologia.
A API retornou registros de clientes - incluindo nomes, detalhes de contato e pedidos de produtos - que poderiam ser extraídos em massa incrementando o parâmetro de URL ‘ByDate’ para recuperar 1.000 registros por solicitação.
Acesso SQL em Aplicativo Interno de Treinamento
Também encontramos uma API de treinamento de pessoal interna em uma conhecida empresa de refrigerantes, executando em Azure Functions, que permitia que usuários não autenticados executassem consultas SQL arbitrárias contra o banco de dados.
Embora os dados fossem limitados a registros de treinamento internos, incluía nomes e endereços de e-mail dos funcionários - o tipo de detalhe que um atacante poderia usar para criar uma campanha de phishing convincente.
Normalmente, as APIs de Azure Functions não expõem documentação, mas um desenvolvedor havia implantado uma extensão que fazia isso.
Embora isso possa ter sido para outro serviço consumir, não havia uma razão clara para que fosse publicamente acessível, uma vez que o aplicativo era destinado ao uso interno.
Enumeração do Active Directory (AD) (Octopus Deploy)
Por fim, o Autoswagger descobriu o
CVE-2025-0589
, que permitia a um atacante não autenticado enumerar informações de usuário do Active Directory se o AD estivesse integrado ao servidor Octopus Deploy.
Documentação de API automatizada é ótima para desenvolvedores - mas igualmente útil para atacantes.
Quando o esquema de uma API está exposto, ele dá a eles um mapa claro de cada endpoint para atacar.
Sem esse mapa, a maioria nem se daria ao trabalho - fuzzing em endpoints cegamente exige muito mais esforço.
Esconder a documentação não é um substituto para o gerenciamento adequado de vulnerabilidades da API, mas expor publicamente a documentação que você não precisa é um risco desnecessário.
A maioria das vulnerabilidades que encontramos estavam em APIs que nunca foram destinadas a ser públicas - mesmo assim, sua documentação foi exposta de qualquer forma.
Dê uma olhada no seu próprio ambiente: se suas APIs internas estão documentadas e expostas na internet, podem estar dando aos atacantes tudo o que eles precisam.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...