API NEWS | VeryFitPro应用中的API漏洞

渗透技巧 2年前 (2022) admin
621 0 0

API NEWS | VeryFitPro应用中的API漏洞


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 两个API漏洞:VeryFitPro应用程序API漏洞允许攻击者访问后端API和LemonDuck僵尸网络中攻击暴露的Docker API;

  • 关于新版本的TruffleHog可检测存储的API凭证的文章分享;

  • 以及如何在真实的后端平台上安全地扩展API。


VeryFitPro应用中的API漏洞


最近,安全研究员Martin Francois披露了VeryFitPro健身追踪应用程序(3.3.7及以下版本)的一个漏洞。

API NEWS | VeryFitPro应用中的API漏洞


该漏洞允许攻击者在没有原始凭据的情况下访问后端API。Francois两次尝试联系供应商失败后,在GitHub上披露了细节。在本文撰写之时,该漏洞尚未得到解决,3.3.7版本仍然是谷歌Play store上可用的最新版本,安装超10万次。


该漏洞源于密码哈希储存在设备数据库中:如果攻击者可以访问数据库,他们可以重用该哈希来访问目标用户的帐户。这种方法被称为哈希传递攻击。Francois简单描述了利用该漏洞的概念证明,并建议通过HTTPS在POST请求正文中传输用户密码来缓解该问题。



暴露的Docker API遭遇僵尸网络攻击


LemonDuck加密挖掘僵尸网络持续尝试攻击Linux系统上暴露的Docker API。这些攻击使用代理工具进行匿名化处理,避开检测,因其未被阿里巴巴云的监控服务监测到。根据这篇文章介绍,加密挖矿越来越普遍,大多数受攻击的谷歌云平台实例都被用于挖矿。


API NEWS | VeryFitPro应用中的API漏洞

Docker使用更高的权限执行,以启动容器并使用操作系统资源。Docker守护进程还可通过端口(通常为2375)暴露管理API。如果该端口无意中暴露在互联网上或存在不安全属性,攻击者可能会利用它通过Docker在主机上执行任意的工作负载。攻击者可以指向API,通过使用客户Docker ENTRYPOINT来执行恶意的core.png文件,该文件实际上是一个shell脚本:

API NEWS | VeryFitPro应用中的API漏洞


该脚本创建一个cron作业并下载活动负载,然后执行以下操作:

• 根据名称终止进程(竞争对手应用程序)

• 终止已知的守护进程,如sshd、syslog

• 删除已知泄露文件路径的指标,以逃避检测

• 终止已知网络连接(至竞争对手的网站)


然后该脚本绕过阿里云的保护服务,最终下载加密挖矿有效载荷,随后开始挖矿。最终,代理可以伪装接收者的加密钱包,以逃避身份识别。

关键是要注意避免暴露Docker API端口,特别是连接公共网络的时候。


TruffleHog v3检测存储的API凭据


泄露的API凭证(密钥、密码和令牌)是安全API部署中最常见的挑战之一,我们经常介绍关于存储凭证的错误案例的专题文章,比如本文。TruffleHog是业界检测泄露凭证的可靠工具之一。近期,PortSwigger公开了新发布的TruffleHog version 3的细节,改进了API密钥检测功能。


API NEWS | VeryFitPro应用中的API漏洞


TruffleHog可以检测通过JavaScript或因API中过于宽松的CORS设置泄露的凭证。重要的是,TruffleHog还可以扫描GitHub库来发现暴露的凭证。新版本支持多达639种新的密钥类型,包括AWS、Azure、Confluent、Facebook和GitHub。


该版本的一个关键新特性是可以通过测试对受影响后端服务的访问,验证疑似泄露的凭据是否仍然有效。这个强大的特性对于安全团队来说是一个巨大的福音,因为这减少了过期或无效凭据的误报。


在此强烈推荐TruffleHog,若你比较重视监控凭证泄漏,可以试试这款工具。



在真实的后端平台中扩展API


本周和大家分享一篇由Curity的Gary Archer提供的文章,他讨论了在真实的后端平台上扩展API所面临的安全挑战。尽管关于处理和验证JSON web令牌(JWT)的优秀文章众多,但通常未深入探讨如何将JWT的使用扩展到具有多个API和客户机的大型系统。


API NEWS | VeryFitPro应用中的API漏洞


本文详细讨论了在复杂拓扑中处理JWT所面临的挑战,并就特定主题提出了一些建议,例如:

• 使用反向代理返回不透明的令牌,而非原始JWT。

• 使用标准的安全库进行JWT验证,并将安全参数放置在声明部分而不是头文件或URL路径中。

• 对于多个API,基于调用客户端,使用所谓的entrypoint API来联合访问内部API。

• 扩展JWT,以允许初始授权服务器向其添加额外的声明以供下游使用。

• 在回调中使用单独的短期令牌,以避免异步方法在维护原始请求者的状态和标识时造成不便。

• 注意合作伙伴API带来的关于授权和身份的其他挑战。

• 将客户端设计为可靠且具有弹性,以减轻具有多个组件的微服务的复杂性,这带来了更多故障点。



有兴趣的小伙伴可以点击文末“阅读原文”

了解文章全部内容


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。



往期 · 推荐


API NEWS | VeryFitPro应用中的API漏洞
API NEWS | VeryFitPro应用中的API漏洞
API NEWS | VeryFitPro应用中的API漏洞

API NEWS | VeryFitPro应用中的API漏洞


API NEWS | VeryFitPro应用中的API漏洞

原文始发于微信公众号(星阑科技):API NEWS | VeryFitPro应用中的API漏洞

版权声明:admin 发表于 2022年5月13日 上午9:57。
转载请注明:API NEWS | VeryFitPro应用中的API漏洞 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...