API NEWS | 关于API增长所带来的安全风险

渗透技巧 2年前 (2022) admin
709 0 0

API NEWS | 关于API增长所带来的安全风险


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

•  Uber的一个面向公众的内部API上存在一个长期漏洞,该漏洞允许攻击者进行电子邮件欺诈

•  NordicAPIs 在RapidAPI报告中发布了一篇文章,讨论了面向合作伙伴的API的增长

•  IBM阐述全渠道API增长所带来的API安全风险


漏洞分析

Uber漏洞允许攻击者进行电子邮件欺诈


本周,ThreatPost公布了Uber的一个面向公众的内部API漏洞的细节,该漏洞允许攻击者进行电子邮件欺诈,使受害者认为邮件来自Uber。

API NEWS | 关于API增长所带来的安全风险


Seekurity的安全研究人员和漏洞挖掘人员Seif elsalamy披露该漏洞的细节。Seif Elsallamy直接向Uber披露了该漏洞的细节,同时将其提交给HackerOne。然而,Uber拒绝了Elsallamy通过第三方进行的提交。后来得知,早在2015年,就有人向Uber报告了该漏洞!Elsallamy 后来表示,这个问题似乎终于得到了解决。


攻击者可以通过漏洞利用Uber上一个面向公众的内部API进行HTML注入,并以Uber的名义发送电子邮件。用户可能会被欺骗,相信这些邮件是真实的,并执行不安全的操作,比如披露财务细节或敏感的个人信息。elsalamy给出了一个关于概念证明的欺骗邮件的例子:


2016年,本通讯中曾披露过Uber遭遇的一次大规模的泄密事件,导致5700万名用户的账户信息被泄露。


重点总结:

• 注意:如果将仅供内部使用的API被连接到面向公众的网络,可能很容易被发现(和利用)。

• API可能会无意暴露出下游系统中遗留的潜在漏洞——在这种情况下,后端系统很容易受到HTML注入攻击。

• 了解安全的组织应该具备主动的(或至少是响应性的)方式来处理漏洞和漏洞报告——本案例中,同一个问题已经被报告了好几次,但组织并未采取行动。


文章分享

面向合作伙伴的API日渐盛行


根据RapidAPI最近发布的《2021年API开发者调查报告》,NordicAPIs发表了一篇文章,谈论了关于面向合作伙伴的API的崛起。

API NEWS | 关于API增长所带来的安全风险

该报告对2200名开发人员进行了调查,并根据受访者的亲身体验,从内部工具的角度到越来越多面向合作伙伴的API,对他们的看法进行了抽样调查。面向合作伙伴的API的崛起给组织带来了挑战:随着API数量的增长,维护工作变得愈加困难,更不用说与数据隐私和安全问题方面的挑战了。

重点总结:

1. API测试主要集中在验收测试、功能测试和集成测试,但在调查中没有提到安全测试。

2. Covid-19疫情加剧了软件领域的技术短缺,这一点在软件安全领域表现得尤为突出。


许多组织正在朝着面向合作伙伴的公共API努力,同时他们意识到从安全性的角度来看,这些API缺乏充分测试,且他们的开发人员也缺乏充分保护API所必需的经验。


文章分享

全渠道API增长增加了API风险


IBM SecurityIntelligence发表了一篇文章,阐述了所谓的全渠道API的崛起以及这些API如何增加了API风险。

API NEWS | 关于API增长所带来的安全风险


驱动API增长的主要因素有三个:

• 多设备使用:用户有多个设备,API需要在所有设备上提供特性和功能

• 微服务:整体架构的崩溃导致了分布式微服务的出现,提供API进行连接

• 迁移到云:云部署的便利性也提高了软件部署的速度,包括API

报告强调了全渠道业务战略进一步推动了API增长,全渠道客户体验旨在确保用户在各大媒介获得的体验一致,无论是门户网站、桌面应用程序还是各种移动设备。为了使这种体验无缝衔接,每个平台必须向用户呈现一致的视图——API是实现这种体验的纽带。


关于提高API安全的建议:

• 建设一个API清单:你无法保护你看不到的东西。

• 练习安全编码:编码漏洞是一切软件漏洞的根源。

• 实现OAuth:通过使用强大的授权协议来避免令牌保密和泄漏问题。

• 限速和限流:限制攻击速率,防止API被滥用。

• 使用API网关:使用网关作为执行安全策略的中心点。

• 使用服务网格:在服务中利用网格来执行身份验证、访问控制和其他安全措施。

• 采用零信任:不要依赖传统的边界或信任边界。


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


往期 · 推荐



API NEWS | 关于API增长所带来的安全风险
API NEWS | 关于API增长所带来的安全风险
API NEWS | 关于API增长所带来的安全风险

API NEWS | 关于API增长所带来的安全风险


API NEWS | 关于API增长所带来的安全风险

原文始发于微信公众号(星阑科技):API NEWS | 关于API增长所带来的安全风险

版权声明:admin 发表于 2022年1月18日 上午10:12。
转载请注明:API NEWS | 关于API增长所带来的安全风险 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...