Vetores de Ataque em Microservices em Aplicações Web Modernas

O pesquisador do Synack Red Team, Mustafa Bilgici, detalha três descobertas reais de bug bounty contra alvos bancários e de fintech que exploram falhas de confiança entre serviços. Um exemplo foi um SSRF em um proxy de download de PDF que permitiu path traversal em múltiplos subdomínios internos extractinternal.*.corp para recuperar extratos de outros usuários, devido à ausência de verificação de propriedade no identificador do documento. Outra falha encontrada foi em um escopo JWT, onde o microservice de e-commerce de um super-aplicativo bancário aceitava qualquer valor de código de autorização fornecido pelo atacante durante a troca de token, porque o serviço downstream confiava no JWT upstream sem verificar sua origem. Um terceiro caso envolveu um parâmetro proxytohost em um endpoint de consentimento GDPR, que permitiu a atacantes externos pivotarem para hosts internos ativos (172.21.69.9/10/153) e obter conteúdo de um portal de intranet. A cadeia de ataque recorrente é a confiança implícita entre serviços: APIs internas acessíveis via proxies públicos, tokens reutilizados entre limites sem vinculação de escopo e códigos de autorização aceitos sem validação de sujeito. Para mitigar, defensores devem impor verificações de autorização por requisição em cada microservice (e não apenas no gateway), vincular tokens à identidade do usuário e a claims de audiência com validação estrita de aud/sub no downstream, permitir apenas destinos de proxy internos configurados (allow-list) em vez de aceitar parâmetros de host de clientes, e mudar o foco dos testes do perímetro para os caminhos de comunicação leste-oeste entre serviços e fluxos de troca de token.