API NEWS | 要加强对API安全的重视

渗透技巧 2年前 (2022) admin
639 0 0

API NEWS | 要加强对API安全的重视


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

•  BlackHat欧洲会议披露了AWS API网关的一个漏洞,该漏洞允许潜在的缓存投毒攻击

•  Kubernetes API访问强化指南

•  《福布斯》发布一份报告:《加强对API安全的重视》

•  关于API安全性如何阻碍应用程序交付


AWS API网关易受HTTP请求走私攻击


在最近的BlackHat欧洲安全会议上,网络安全研究员Daniel Thatcher披露了允许HTTP走私的AWS API网关的相关漏洞。目前,AWS还没有对此做出回应,也没有对其API网关的潜在漏洞发表言论。

API NEWS | 要加强对API安全的重视


PortSwigger对HTTP请求走私作为am攻击载体作了一份优秀的总结:


“HTTP请求走私主要用来干扰网站处理从一个或多个用户收到的HTTP请求序列的方式。请求走私漏洞通常被认为是高危漏洞,它允许攻击者绕过安全控制,获得对敏感数据的未经授权的访问,并直接危及其他应用程序用户。”

引发AWS API网关漏洞的攻击非常简单:Thatcher在HTTP请求的报头中添加了X-Forwarded-For abcd: z,绕过了AWS API网关中的AWS IP地址限制策略。

最严重的是,该漏洞可能允许攻击者利用HTTP报头走私,将虚假报头偷运到后端,并对服务器发起缓存投毒攻击。这反过来又允许攻击者创建自己的API并返回恶意内容。该漏洞并不是最容易被利用的一个。

AWS随后修复了这一漏洞。


Kubernetes API访问安全加固


在现有的Kubernetes部署中,“控制层”是Kubernetes实例中至关重要的一个组件,Kubernetes API是实例中执行的所有操作的看门人。因此,必须使用强身份验证和授权技术,需严格控制对该API的访问。

API NEWS | 要加强对API安全的重视

Teleport整合了一个简明指南,该指南提供了加固和保护Kubernetes部署的方法和最佳实践指南。文章就以下核心主题提供了详细的指导:

• Kubernetes API网络访问最佳实践

• Kubernetes API用户帐户管理最佳实践

• Kubernetes API访问身份验证最佳实践

• Kubernetes API访问授权最佳实践

• 保障Kubernetes Kubelet访问安全

• API访问控制的额外安全考虑

对于复杂的软件系统,鼓励其管理员充分了解默认配置及其安全影响,并建议遵循此类指南来实现快速的胜利,以加固安装。如果你使用Kubernetes,或者对Kubernetes感兴趣,可以看一看。


加强对API安全的重视


近期,《福布斯》的一篇专题文章讨论了为何应该认真对待API安全问题,强调了API安全对现代经济的重要性。

API NEWS | 要加强对API安全的重视


《福布斯》得出的结论,IT领导者最好将精力集中在几个关键领域:

• 将所有API视为一种威胁

• 保持一个准确的、最新的API清单

• 检查现有的API

• 认真对待DevSecOps


福布斯的结论准确而切中要害:

“最好的办法是尽可能广泛地提高组织内部的安全意识,让每位软件设计、构建和部署工作者都了解这个敌人。”


API安全性阻碍应用程序交付


DarkReading发表了一篇文章阐述为什么API安全会阻碍应用程序交付。

根据Cloudentity研究的重要发现,几乎所有组织都会出现因担心API环境的安全,而延迟发布新的应用程序或更新版本。近44%的人表示他们遭遇过API安全问题,如数据泄漏和私人信息暴露。

API NEWS | 要加强对API安全的重视


导致这种困境最常见的原因包括:

• API安全的财务成本过高

• 应用程序交付时间过快

• API安全意识的缺乏

该报告得出结论,API安全在接下来的几年会得到更多关注,预算也会相应地增加。


报告: F5详述API的持续蔓延

最后,关于F5详述API的持续蔓延的报告,HelpNetSecurity对其作了简单评论。

根据这份报告:“我们预计,当前公共和私人API数量接近2亿,到2031年,可能会增至数十亿。”


报告中阐述加剧API蔓延因素如下:

• 缺乏全球标准致使API重新实现

• 微服务的增长

• 软件发布的节奏加快

• 大型企业内部互用性需求加强

• 单个业务部门的重复工作

API蔓延加剧为运营和安全增加了挑战,API安全需要密切关注。


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


往期 · 推荐



API NEWS | 要加强对API安全的重视
API NEWS | 要加强对API安全的重视
API NEWS | 要加强对API安全的重视

API NEWS | 要加强对API安全的重视


API NEWS | 要加强对API安全的重视

原文始发于微信公众号(星阑科技):API NEWS | 要加强对API安全的重视

版权声明:admin 发表于 2022年1月7日 上午2:10。
转载请注明:API NEWS | 要加强对API安全的重视 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...