博客

轮子上的API。风险漏洞的公路旅行

皮特-丹休
发布日期:2021年11月30日

你上次进行公路旅行是什么时候?根据你所处的位置,可能只是最近才回到议程上,但真的,没有什么比开放的道路和获得风景的改变更好。 

当然,除非你是一个软件漏洞。

我们已经详细谈到了汽车行业网络安全措施松懈所带来的危险,像特斯拉吉普车已经与安全研究人员合作,发现可利用的漏洞,如果不及早发现并及时修复,可能会导致严重的安全问题。我们也曾谈到,总的来说,软件安全仍然 处于狂野的西部。软件在我们身边无处不在,对于许多连接设备、车辆及其外围设备,所需的安全措施远远超出了最终用户的教育和警惕。

API漏洞正变得特别阴险,仅在过去6个月,恶意API流量增长了300%以上。这是相当令人担忧的,因为现代汽车本质上是车轮上的API。它们是连接的,与其他应用程序非常健谈,并可能作为许多易受攻击的端点之一陷入目标攻击。 

当你的电动车充电器说得太多时

联网车辆的软件安全受到了严格的审查,但它们的配件呢?Pen Test Partners的天才团队在六个家用电动车充电品牌以及一个广泛的公共电动车充电网络中发现了几个代码级的漏洞

谁在乎一个充电器?攻击者能得到什么?不幸的是,强大、深入的技术为我们加班工作的缺点之一是,一般来说,这些设备有一个糟糕的TMI案例。电动车充电器在基于云的环境中,通过API与配套的移动应用程序进行通信,如果不进行安全编码和配置,所有这些都容易被利用。根据设计,API为应用程序之间的通信打开了闸门,如果这些端点没有仔细配置,可能会有太多东西被分享--或者更糟的是,通过一个脆弱的应用程序后门访问。

Pen Test Partners发现了极其危险的漏洞,这些漏洞可能导致数以百万计的电动车充电器被劫持,还有几例允许接管账户和远程控制/访问账户的API授权问题,甚至还有可能通过同步控制多个电动车设备来破坏电网。这些问题都被修补了,但事实上,几行代码是攻击者与核心功能和服务基础设施完全中断之间的全部障碍,这令人深感担忧。 

这也不像是主谋的事情。例如,Wallbox在其API中有两个不安全的直接对象引用(IDOR),如果被利用,就可以接管账户。IDOR属于破损的认证,在OWASP十大API漏洞中位居第二。它像泥土一样普遍,这表明在学习和执行高质量代码方面的失败。我们不能坚持通过无数有漏洞的通信途径来连接敏感设备和应用程序,而配置不良的API就是这样。 

安全地使用汽车API需要教育和耐心

API安全令人沮丧的是,它被吹捧为新一波网络安全灾难的尝试和缓解,而实际上,它只是我们几十年来在网络开发中看到的同样的老问题的一个新设置。跨站脚本、注入、错误配置:听起来很熟悉?

最近来自NIST等组织的指标是有希望的,表明软件安全正在变得更加规范化和标准化。然而,我们仍然缺乏所需的专家,甚至无法对每天编写的大量代码进行保护。开发人员需要提高他们的安全知识和责任,而不是由他们来采取主动。如果你有一个团队在研究电器中的嵌入式系统,或可能把汽车变成某人的遥控玩具的API,那么你必须确保他们配备了他们所需要的东西来停止引入常见的漏洞。 

例如,一个安全的API和一个因XSS而易受攻击的API之间的差别很小,但开发人员需要被告知区分不良编码模式和良好编码模式的细微差别。除此之外,懒惰的开发过程在API配置中往往是照常进行的,许多人被赋予了巨大的权限,超过了它执行既定任务的最低要求,从而打开了如此多的额外威胁面和潜在的数据盗窃。这些因素需要在构建过程中加以考虑,但如果它们没有被根植于可接受的开发实践中,那么这个过程将继续成为一个风险因素。

避开新的威胁行为者的乐园

API作为威胁者的目标的急剧增加表明,人们的注意力正在转移到一个被认为是低垂的果实上......在这种情况下,除了潜在的车辆接管形式对生命的威胁外,它还可能是一个通往重大报酬的管道。 

如果对API的安全问题听之任之,那么以后肯定会出现问题,最坏的情况是可能造成毁灭性的后果,最好的情况是令人沮丧的返工和低性能。作为软件通信生态系统的一部分,它应该是一个重要的考虑因素,并在一流的安全计划中占据重要地位。这方面的关键是把每个API当作人类来对待,并评估它应该有哪些访问权限。会计部的吉姆是否应该访问整个公司的所有敏感法律文件?也许不应该,而且一般来说,在现实世界中的人员的情况下,访问控制是正确的。对于API来说,情况并非如此,重要的是要记住,它们是强大的话匣子,如果不采用与其他事物相同的零信任方法进行配置,它们会让所有人知道你的秘密。

组织必须保持高度警惕,而开发人员是需要在现场的眼睛,以创建高质量的代码,不受这些脆弱的绝望门户的影响。现在是时候让他们有机会作为有安全意识的工程师成长和发展了,他们要有实现这一目标的正确心态和在创建的关键阶段做出正确决定的实践技能。

查看资源
查看资源

对API的安全问题听之任之,是以后引入问题的一个可靠方式,最坏的情况是可能造成毁灭性的后果,最好的情况是令人沮丧的返工和低性能。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
发布日期:2021年11月30日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

你上次进行公路旅行是什么时候?根据你所处的位置,可能只是最近才回到议程上,但真的,没有什么比开放的道路和获得风景的改变更好。 

当然,除非你是一个软件漏洞。

我们已经详细谈到了汽车行业网络安全措施松懈所带来的危险,像特斯拉吉普车已经与安全研究人员合作,发现可利用的漏洞,如果不及早发现并及时修复,可能会导致严重的安全问题。我们也曾谈到,总的来说,软件安全仍然 处于狂野的西部。软件在我们身边无处不在,对于许多连接设备、车辆及其外围设备,所需的安全措施远远超出了最终用户的教育和警惕。

API漏洞正变得特别阴险,仅在过去6个月,恶意API流量增长了300%以上。这是相当令人担忧的,因为现代汽车本质上是车轮上的API。它们是连接的,与其他应用程序非常健谈,并可能作为许多易受攻击的端点之一陷入目标攻击。 

当你的电动车充电器说得太多时

联网车辆的软件安全受到了严格的审查,但它们的配件呢?Pen Test Partners的天才团队在六个家用电动车充电品牌以及一个广泛的公共电动车充电网络中发现了几个代码级的漏洞

谁在乎一个充电器?攻击者能得到什么?不幸的是,强大、深入的技术为我们加班工作的缺点之一是,一般来说,这些设备有一个糟糕的TMI案例。电动车充电器在基于云的环境中,通过API与配套的移动应用程序进行通信,如果不进行安全编码和配置,所有这些都容易被利用。根据设计,API为应用程序之间的通信打开了闸门,如果这些端点没有仔细配置,可能会有太多东西被分享--或者更糟的是,通过一个脆弱的应用程序后门访问。

Pen Test Partners发现了极其危险的漏洞,这些漏洞可能导致数以百万计的电动车充电器被劫持,还有几例允许接管账户和远程控制/访问账户的API授权问题,甚至还有可能通过同步控制多个电动车设备来破坏电网。这些问题都被修补了,但事实上,几行代码是攻击者与核心功能和服务基础设施完全中断之间的全部障碍,这令人深感担忧。 

这也不像是主谋的事情。例如,Wallbox在其API中有两个不安全的直接对象引用(IDOR),如果被利用,就可以接管账户。IDOR属于破损的认证,在OWASP十大API漏洞中位居第二。它像泥土一样普遍,这表明在学习和执行高质量代码方面的失败。我们不能坚持通过无数有漏洞的通信途径来连接敏感设备和应用程序,而配置不良的API就是这样。 

安全地使用汽车API需要教育和耐心

API安全令人沮丧的是,它被吹捧为新一波网络安全灾难的尝试和缓解,而实际上,它只是我们几十年来在网络开发中看到的同样的老问题的一个新设置。跨站脚本、注入、错误配置:听起来很熟悉?

最近来自NIST等组织的指标是有希望的,表明软件安全正在变得更加规范化和标准化。然而,我们仍然缺乏所需的专家,甚至无法对每天编写的大量代码进行保护。开发人员需要提高他们的安全知识和责任,而不是由他们来采取主动。如果你有一个团队在研究电器中的嵌入式系统,或可能把汽车变成某人的遥控玩具的API,那么你必须确保他们配备了他们所需要的东西来停止引入常见的漏洞。 

例如,一个安全的API和一个因XSS而易受攻击的API之间的差别很小,但开发人员需要被告知区分不良编码模式和良好编码模式的细微差别。除此之外,懒惰的开发过程在API配置中往往是照常进行的,许多人被赋予了巨大的权限,超过了它执行既定任务的最低要求,从而打开了如此多的额外威胁面和潜在的数据盗窃。这些因素需要在构建过程中加以考虑,但如果它们没有被根植于可接受的开发实践中,那么这个过程将继续成为一个风险因素。

避开新的威胁行为者的乐园

API作为威胁者的目标的急剧增加表明,人们的注意力正在转移到一个被认为是低垂的果实上......在这种情况下,除了潜在的车辆接管形式对生命的威胁外,它还可能是一个通往重大报酬的管道。 

如果对API的安全问题听之任之,那么以后肯定会出现问题,最坏的情况是可能造成毁灭性的后果,最好的情况是令人沮丧的返工和低性能。作为软件通信生态系统的一部分,它应该是一个重要的考虑因素,并在一流的安全计划中占据重要地位。这方面的关键是把每个API当作人类来对待,并评估它应该有哪些访问权限。会计部的吉姆是否应该访问整个公司的所有敏感法律文件?也许不应该,而且一般来说,在现实世界中的人员的情况下,访问控制是正确的。对于API来说,情况并非如此,重要的是要记住,它们是强大的话匣子,如果不采用与其他事物相同的零信任方法进行配置,它们会让所有人知道你的秘密。

组织必须保持高度警惕,而开发人员是需要在现场的眼睛,以创建高质量的代码,不受这些脆弱的绝望门户的影响。现在是时候让他们有机会作为有安全意识的工程师成长和发展了,他们要有实现这一目标的正确心态和在创建的关键阶段做出正确决定的实践技能。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

你上次进行公路旅行是什么时候?根据你所处的位置,可能只是最近才回到议程上,但真的,没有什么比开放的道路和获得风景的改变更好。 

当然,除非你是一个软件漏洞。

我们已经详细谈到了汽车行业网络安全措施松懈所带来的危险,像特斯拉吉普车已经与安全研究人员合作,发现可利用的漏洞,如果不及早发现并及时修复,可能会导致严重的安全问题。我们也曾谈到,总的来说,软件安全仍然 处于狂野的西部。软件在我们身边无处不在,对于许多连接设备、车辆及其外围设备,所需的安全措施远远超出了最终用户的教育和警惕。

API漏洞正变得特别阴险,仅在过去6个月,恶意API流量增长了300%以上。这是相当令人担忧的,因为现代汽车本质上是车轮上的API。它们是连接的,与其他应用程序非常健谈,并可能作为许多易受攻击的端点之一陷入目标攻击。 

当你的电动车充电器说得太多时

联网车辆的软件安全受到了严格的审查,但它们的配件呢?Pen Test Partners的天才团队在六个家用电动车充电品牌以及一个广泛的公共电动车充电网络中发现了几个代码级的漏洞

谁在乎一个充电器?攻击者能得到什么?不幸的是,强大、深入的技术为我们加班工作的缺点之一是,一般来说,这些设备有一个糟糕的TMI案例。电动车充电器在基于云的环境中,通过API与配套的移动应用程序进行通信,如果不进行安全编码和配置,所有这些都容易被利用。根据设计,API为应用程序之间的通信打开了闸门,如果这些端点没有仔细配置,可能会有太多东西被分享--或者更糟的是,通过一个脆弱的应用程序后门访问。

Pen Test Partners发现了极其危险的漏洞,这些漏洞可能导致数以百万计的电动车充电器被劫持,还有几例允许接管账户和远程控制/访问账户的API授权问题,甚至还有可能通过同步控制多个电动车设备来破坏电网。这些问题都被修补了,但事实上,几行代码是攻击者与核心功能和服务基础设施完全中断之间的全部障碍,这令人深感担忧。 

这也不像是主谋的事情。例如,Wallbox在其API中有两个不安全的直接对象引用(IDOR),如果被利用,就可以接管账户。IDOR属于破损的认证,在OWASP十大API漏洞中位居第二。它像泥土一样普遍,这表明在学习和执行高质量代码方面的失败。我们不能坚持通过无数有漏洞的通信途径来连接敏感设备和应用程序,而配置不良的API就是这样。 

安全地使用汽车API需要教育和耐心

API安全令人沮丧的是,它被吹捧为新一波网络安全灾难的尝试和缓解,而实际上,它只是我们几十年来在网络开发中看到的同样的老问题的一个新设置。跨站脚本、注入、错误配置:听起来很熟悉?

最近来自NIST等组织的指标是有希望的,表明软件安全正在变得更加规范化和标准化。然而,我们仍然缺乏所需的专家,甚至无法对每天编写的大量代码进行保护。开发人员需要提高他们的安全知识和责任,而不是由他们来采取主动。如果你有一个团队在研究电器中的嵌入式系统,或可能把汽车变成某人的遥控玩具的API,那么你必须确保他们配备了他们所需要的东西来停止引入常见的漏洞。 

例如,一个安全的API和一个因XSS而易受攻击的API之间的差别很小,但开发人员需要被告知区分不良编码模式和良好编码模式的细微差别。除此之外,懒惰的开发过程在API配置中往往是照常进行的,许多人被赋予了巨大的权限,超过了它执行既定任务的最低要求,从而打开了如此多的额外威胁面和潜在的数据盗窃。这些因素需要在构建过程中加以考虑,但如果它们没有被根植于可接受的开发实践中,那么这个过程将继续成为一个风险因素。

避开新的威胁行为者的乐园

API作为威胁者的目标的急剧增加表明,人们的注意力正在转移到一个被认为是低垂的果实上......在这种情况下,除了潜在的车辆接管形式对生命的威胁外,它还可能是一个通往重大报酬的管道。 

如果对API的安全问题听之任之,那么以后肯定会出现问题,最坏的情况是可能造成毁灭性的后果,最好的情况是令人沮丧的返工和低性能。作为软件通信生态系统的一部分,它应该是一个重要的考虑因素,并在一流的安全计划中占据重要地位。这方面的关键是把每个API当作人类来对待,并评估它应该有哪些访问权限。会计部的吉姆是否应该访问整个公司的所有敏感法律文件?也许不应该,而且一般来说,在现实世界中的人员的情况下,访问控制是正确的。对于API来说,情况并非如此,重要的是要记住,它们是强大的话匣子,如果不采用与其他事物相同的零信任方法进行配置,它们会让所有人知道你的秘密。

组织必须保持高度警惕,而开发人员是需要在现场的眼睛,以创建高质量的代码,不受这些脆弱的绝望门户的影响。现在是时候让他们有机会作为有安全意识的工程师成长和发展了,他们要有实现这一目标的正确心态和在创建的关键阶段做出正确决定的实践技能。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
发布日期:2021年11月30日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

你上次进行公路旅行是什么时候?根据你所处的位置,可能只是最近才回到议程上,但真的,没有什么比开放的道路和获得风景的改变更好。 

当然,除非你是一个软件漏洞。

我们已经详细谈到了汽车行业网络安全措施松懈所带来的危险,像特斯拉吉普车已经与安全研究人员合作,发现可利用的漏洞,如果不及早发现并及时修复,可能会导致严重的安全问题。我们也曾谈到,总的来说,软件安全仍然 处于狂野的西部。软件在我们身边无处不在,对于许多连接设备、车辆及其外围设备,所需的安全措施远远超出了最终用户的教育和警惕。

API漏洞正变得特别阴险,仅在过去6个月,恶意API流量增长了300%以上。这是相当令人担忧的,因为现代汽车本质上是车轮上的API。它们是连接的,与其他应用程序非常健谈,并可能作为许多易受攻击的端点之一陷入目标攻击。 

当你的电动车充电器说得太多时

联网车辆的软件安全受到了严格的审查,但它们的配件呢?Pen Test Partners的天才团队在六个家用电动车充电品牌以及一个广泛的公共电动车充电网络中发现了几个代码级的漏洞

谁在乎一个充电器?攻击者能得到什么?不幸的是,强大、深入的技术为我们加班工作的缺点之一是,一般来说,这些设备有一个糟糕的TMI案例。电动车充电器在基于云的环境中,通过API与配套的移动应用程序进行通信,如果不进行安全编码和配置,所有这些都容易被利用。根据设计,API为应用程序之间的通信打开了闸门,如果这些端点没有仔细配置,可能会有太多东西被分享--或者更糟的是,通过一个脆弱的应用程序后门访问。

Pen Test Partners发现了极其危险的漏洞,这些漏洞可能导致数以百万计的电动车充电器被劫持,还有几例允许接管账户和远程控制/访问账户的API授权问题,甚至还有可能通过同步控制多个电动车设备来破坏电网。这些问题都被修补了,但事实上,几行代码是攻击者与核心功能和服务基础设施完全中断之间的全部障碍,这令人深感担忧。 

这也不像是主谋的事情。例如,Wallbox在其API中有两个不安全的直接对象引用(IDOR),如果被利用,就可以接管账户。IDOR属于破损的认证,在OWASP十大API漏洞中位居第二。它像泥土一样普遍,这表明在学习和执行高质量代码方面的失败。我们不能坚持通过无数有漏洞的通信途径来连接敏感设备和应用程序,而配置不良的API就是这样。 

安全地使用汽车API需要教育和耐心

API安全令人沮丧的是,它被吹捧为新一波网络安全灾难的尝试和缓解,而实际上,它只是我们几十年来在网络开发中看到的同样的老问题的一个新设置。跨站脚本、注入、错误配置:听起来很熟悉?

最近来自NIST等组织的指标是有希望的,表明软件安全正在变得更加规范化和标准化。然而,我们仍然缺乏所需的专家,甚至无法对每天编写的大量代码进行保护。开发人员需要提高他们的安全知识和责任,而不是由他们来采取主动。如果你有一个团队在研究电器中的嵌入式系统,或可能把汽车变成某人的遥控玩具的API,那么你必须确保他们配备了他们所需要的东西来停止引入常见的漏洞。 

例如,一个安全的API和一个因XSS而易受攻击的API之间的差别很小,但开发人员需要被告知区分不良编码模式和良好编码模式的细微差别。除此之外,懒惰的开发过程在API配置中往往是照常进行的,许多人被赋予了巨大的权限,超过了它执行既定任务的最低要求,从而打开了如此多的额外威胁面和潜在的数据盗窃。这些因素需要在构建过程中加以考虑,但如果它们没有被根植于可接受的开发实践中,那么这个过程将继续成为一个风险因素。

避开新的威胁行为者的乐园

API作为威胁者的目标的急剧增加表明,人们的注意力正在转移到一个被认为是低垂的果实上......在这种情况下,除了潜在的车辆接管形式对生命的威胁外,它还可能是一个通往重大报酬的管道。 

如果对API的安全问题听之任之,那么以后肯定会出现问题,最坏的情况是可能造成毁灭性的后果,最好的情况是令人沮丧的返工和低性能。作为软件通信生态系统的一部分,它应该是一个重要的考虑因素,并在一流的安全计划中占据重要地位。这方面的关键是把每个API当作人类来对待,并评估它应该有哪些访问权限。会计部的吉姆是否应该访问整个公司的所有敏感法律文件?也许不应该,而且一般来说,在现实世界中的人员的情况下,访问控制是正确的。对于API来说,情况并非如此,重要的是要记住,它们是强大的话匣子,如果不采用与其他事物相同的零信任方法进行配置,它们会让所有人知道你的秘密。

组织必须保持高度警惕,而开发人员是需要在现场的眼睛,以创建高质量的代码,不受这些脆弱的绝望门户的影响。现在是时候让他们有机会作为有安全意识的工程师成长和发展了,他们要有实现这一目标的正确心态和在创建的关键阶段做出正确决定的实践技能。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心