Coders Conquer Security OWASP Top 10 API Series - 不当资产管理
与OWASP API前十名中的大多数漏洞不同,不恰当的资产管理并不特别围绕编码缺陷。相反,这个漏洞更像是一个人为或管理问题,它允许旧的API在应该被较新的、更安全的版本取代后很久还在原地。如果仍在开发中的API在被完全加固以抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,这一漏洞尤其难以管理。在这种环境下,新的服务可能会被迅速启动,以满足暂时的需要,然后被遗忘,从未退役。如果旧的API被留在生产环境中连接,它可能会危及整个网络。
想尝试一下对这个安全漏洞的游戏化挑战吗?请进入我们的竞技场。[从这里开始]
不当的资产管理缺陷是如何影响API的?
不当的资产管理缺陷是现代的产物。以业务速度前进的组织有时每天都能旋转出成百上千的服务和微服务。这通常是快速完成的,而且没有创建任何附带的文档,也没有解释相关的API是用来做什么的,需要多长时间或其重要性。这可能会迅速产生API蔓延,随着时间的推移可能会变得无法控制,特别是如果没有全面的政策来定义API可以存在多久。
在这种环境下,很有可能一些API会丢失、被遗忘或从未退役。
有权限在正常流程之外创建新服务的用户有时也应受到指责。例如,一个营销小组可能会创建一个服务来帮助支持一个即将到来的事件,如产品发布,然后在事件完成后再也没有把它拿下来。后来有人看到这个服务及其相关的API,可能不知道它们为什么会存在,如果没有文档,它可能仍然是个谜。他们可能不愿意从生产环境中删除这些API,甚至不愿意将它们升级到新的版本,因为他们不知道这些API有多关键,也不知道它们是做什么的。
漏洞变得很危险,因为框架中的API的安全性随着时间的推移而提高。研究人员可能会发现一个漏洞,或者可以增加额外的安全性来阻止越来越流行的攻击类型。除非升级,否则较旧的API可能仍然容易受到这些攻击,所以黑客通常会搜索它们或使用自动工具来寻找它们。
在OWASP提供的一个真实案例中,一家公司升级了其用于搜索用户数据库的API,以修补一个关键的缺陷。但他们错误地将旧的API留在了原地。
攻击者注意到,新API的位置类似于(api.criticalservice.com/v2)。通过用(api.criticalservice.com/v1)替换这个URL,他们就能够使用带有已知漏洞的旧API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理缺陷
从你的环境中消除不恰当的资产管理缺陷的唯一方法是对所有的API、它们的用途和版本进行严格的盘点。这应该从现有的API清单开始,关注的因素包括它们应该被部署到什么环境中,如生产或开发,谁应该对它们有网络访问权,当然还有它们的版本。
一旦完成,你需要实施一个流程,将文档自动添加到任何新创建的API或服务中。这应该包括API的所有方面,包括速率限制、如何处理请求和响应、资源共享、可以连接到哪些端点、任何适用的相关政策,以及其他任何以后需要审计的内容。你也应该避免在生产中使用非生产的API或来自开发环境的API。也可以考虑给API增加一个时间限制,在这个时间限制内,API的继续使用必须有其所有者的证明,以防止自动退役。
每当活动API的新版本可用时,执行风险assessment ,以确定你是否应该升级,以及该过程应如何进行,以避免破坏生产环境。一旦你迁移到新的API,从环境中完全删除旧的API。
做好这一切可以帮助防止不当的资产管理漏洞对你的组织、用户或网络造成伤害。请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
与OWASP API前十名中的大多数漏洞不同,不恰当的资产管理并不特别围绕编码缺陷。相反,这个漏洞更像是一个人为或管理问题,它允许旧的API在应该被较新的、更安全的版本取代后很久还在原地。如果仍在开发中的API在被完全加固以抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,这一漏洞尤其难以管理。在这种环境下,新的服务可能会被迅速启动,以满足暂时的需要,然后被遗忘,从未退役。如果旧的API被留在生产环境中连接,它可能会危及整个网络。
想尝试一下对这个安全漏洞的游戏化挑战吗?请进入我们的竞技场。[从这里开始]
不当的资产管理缺陷是如何影响API的?
不当的资产管理缺陷是现代的产物。以业务速度前进的组织有时每天都能旋转出成百上千的服务和微服务。这通常是快速完成的,而且没有创建任何附带的文档,也没有解释相关的API是用来做什么的,需要多长时间或其重要性。这可能会迅速产生API蔓延,随着时间的推移可能会变得无法控制,特别是如果没有全面的政策来定义API可以存在多久。
在这种环境下,很有可能一些API会丢失、被遗忘或从未退役。
有权限在正常流程之外创建新服务的用户有时也应受到指责。例如,一个营销小组可能会创建一个服务来帮助支持一个即将到来的事件,如产品发布,然后在事件完成后再也没有把它拿下来。后来有人看到这个服务及其相关的API,可能不知道它们为什么会存在,如果没有文档,它可能仍然是个谜。他们可能不愿意从生产环境中删除这些API,甚至不愿意将它们升级到新的版本,因为他们不知道这些API有多关键,也不知道它们是做什么的。
漏洞变得很危险,因为框架中的API的安全性随着时间的推移而提高。研究人员可能会发现一个漏洞,或者可以增加额外的安全性来阻止越来越流行的攻击类型。除非升级,否则较旧的API可能仍然容易受到这些攻击,所以黑客通常会搜索它们或使用自动工具来寻找它们。
在OWASP提供的一个真实案例中,一家公司升级了其用于搜索用户数据库的API,以修补一个关键的缺陷。但他们错误地将旧的API留在了原地。
攻击者注意到,新API的位置类似于(api.criticalservice.com/v2)。通过用(api.criticalservice.com/v1)替换这个URL,他们就能够使用带有已知漏洞的旧API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理缺陷
从你的环境中消除不恰当的资产管理缺陷的唯一方法是对所有的API、它们的用途和版本进行严格的盘点。这应该从现有的API清单开始,关注的因素包括它们应该被部署到什么环境中,如生产或开发,谁应该对它们有网络访问权,当然还有它们的版本。
一旦完成,你需要实施一个流程,将文档自动添加到任何新创建的API或服务中。这应该包括API的所有方面,包括速率限制、如何处理请求和响应、资源共享、可以连接到哪些端点、任何适用的相关政策,以及其他任何以后需要审计的内容。你也应该避免在生产中使用非生产的API或来自开发环境的API。也可以考虑给API增加一个时间限制,在这个时间限制内,API的继续使用必须有其所有者的证明,以防止自动退役。
每当活动API的新版本可用时,执行风险assessment ,以确定你是否应该升级,以及该过程应如何进行,以避免破坏生产环境。一旦你迁移到新的API,从环境中完全删除旧的API。
做好这一切可以帮助防止不当的资产管理漏洞对你的组织、用户或网络造成伤害。请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
与OWASP API前十名中的大多数漏洞不同,不恰当的资产管理并不特别围绕编码缺陷。相反,这个漏洞更像是一个人为或管理问题,它允许旧的API在应该被较新的、更安全的版本取代后很久还在原地。如果仍在开发中的API在被完全加固以抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,这一漏洞尤其难以管理。在这种环境下,新的服务可能会被迅速启动,以满足暂时的需要,然后被遗忘,从未退役。如果旧的API被留在生产环境中连接,它可能会危及整个网络。
想尝试一下对这个安全漏洞的游戏化挑战吗?请进入我们的竞技场。[从这里开始]
不当的资产管理缺陷是如何影响API的?
不当的资产管理缺陷是现代的产物。以业务速度前进的组织有时每天都能旋转出成百上千的服务和微服务。这通常是快速完成的,而且没有创建任何附带的文档,也没有解释相关的API是用来做什么的,需要多长时间或其重要性。这可能会迅速产生API蔓延,随着时间的推移可能会变得无法控制,特别是如果没有全面的政策来定义API可以存在多久。
在这种环境下,很有可能一些API会丢失、被遗忘或从未退役。
有权限在正常流程之外创建新服务的用户有时也应受到指责。例如,一个营销小组可能会创建一个服务来帮助支持一个即将到来的事件,如产品发布,然后在事件完成后再也没有把它拿下来。后来有人看到这个服务及其相关的API,可能不知道它们为什么会存在,如果没有文档,它可能仍然是个谜。他们可能不愿意从生产环境中删除这些API,甚至不愿意将它们升级到新的版本,因为他们不知道这些API有多关键,也不知道它们是做什么的。
漏洞变得很危险,因为框架中的API的安全性随着时间的推移而提高。研究人员可能会发现一个漏洞,或者可以增加额外的安全性来阻止越来越流行的攻击类型。除非升级,否则较旧的API可能仍然容易受到这些攻击,所以黑客通常会搜索它们或使用自动工具来寻找它们。
在OWASP提供的一个真实案例中,一家公司升级了其用于搜索用户数据库的API,以修补一个关键的缺陷。但他们错误地将旧的API留在了原地。
攻击者注意到,新API的位置类似于(api.criticalservice.com/v2)。通过用(api.criticalservice.com/v1)替换这个URL,他们就能够使用带有已知漏洞的旧API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理缺陷
从你的环境中消除不恰当的资产管理缺陷的唯一方法是对所有的API、它们的用途和版本进行严格的盘点。这应该从现有的API清单开始,关注的因素包括它们应该被部署到什么环境中,如生产或开发,谁应该对它们有网络访问权,当然还有它们的版本。
一旦完成,你需要实施一个流程,将文档自动添加到任何新创建的API或服务中。这应该包括API的所有方面,包括速率限制、如何处理请求和响应、资源共享、可以连接到哪些端点、任何适用的相关政策,以及其他任何以后需要审计的内容。你也应该避免在生产中使用非生产的API或来自开发环境的API。也可以考虑给API增加一个时间限制,在这个时间限制内,API的继续使用必须有其所有者的证明,以防止自动退役。
每当活动API的新版本可用时,执行风险assessment ,以确定你是否应该升级,以及该过程应如何进行,以避免破坏生产环境。一旦你迁移到新的API,从环境中完全删除旧的API。
做好这一切可以帮助防止不当的资产管理漏洞对你的组织、用户或网络造成伤害。请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
与OWASP API前十名中的大多数漏洞不同,不恰当的资产管理并不特别围绕编码缺陷。相反,这个漏洞更像是一个人为或管理问题,它允许旧的API在应该被较新的、更安全的版本取代后很久还在原地。如果仍在开发中的API在被完全加固以抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,这一漏洞尤其难以管理。在这种环境下,新的服务可能会被迅速启动,以满足暂时的需要,然后被遗忘,从未退役。如果旧的API被留在生产环境中连接,它可能会危及整个网络。
想尝试一下对这个安全漏洞的游戏化挑战吗?请进入我们的竞技场。[从这里开始]
不当的资产管理缺陷是如何影响API的?
不当的资产管理缺陷是现代的产物。以业务速度前进的组织有时每天都能旋转出成百上千的服务和微服务。这通常是快速完成的,而且没有创建任何附带的文档,也没有解释相关的API是用来做什么的,需要多长时间或其重要性。这可能会迅速产生API蔓延,随着时间的推移可能会变得无法控制,特别是如果没有全面的政策来定义API可以存在多久。
在这种环境下,很有可能一些API会丢失、被遗忘或从未退役。
有权限在正常流程之外创建新服务的用户有时也应受到指责。例如,一个营销小组可能会创建一个服务来帮助支持一个即将到来的事件,如产品发布,然后在事件完成后再也没有把它拿下来。后来有人看到这个服务及其相关的API,可能不知道它们为什么会存在,如果没有文档,它可能仍然是个谜。他们可能不愿意从生产环境中删除这些API,甚至不愿意将它们升级到新的版本,因为他们不知道这些API有多关键,也不知道它们是做什么的。
漏洞变得很危险,因为框架中的API的安全性随着时间的推移而提高。研究人员可能会发现一个漏洞,或者可以增加额外的安全性来阻止越来越流行的攻击类型。除非升级,否则较旧的API可能仍然容易受到这些攻击,所以黑客通常会搜索它们或使用自动工具来寻找它们。
在OWASP提供的一个真实案例中,一家公司升级了其用于搜索用户数据库的API,以修补一个关键的缺陷。但他们错误地将旧的API留在了原地。
攻击者注意到,新API的位置类似于(api.criticalservice.com/v2)。通过用(api.criticalservice.com/v1)替换这个URL,他们就能够使用带有已知漏洞的旧API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理缺陷
从你的环境中消除不恰当的资产管理缺陷的唯一方法是对所有的API、它们的用途和版本进行严格的盘点。这应该从现有的API清单开始,关注的因素包括它们应该被部署到什么环境中,如生产或开发,谁应该对它们有网络访问权,当然还有它们的版本。
一旦完成,你需要实施一个流程,将文档自动添加到任何新创建的API或服务中。这应该包括API的所有方面,包括速率限制、如何处理请求和响应、资源共享、可以连接到哪些端点、任何适用的相关政策,以及其他任何以后需要审计的内容。你也应该避免在生产中使用非生产的API或来自开发环境的API。也可以考虑给API增加一个时间限制,在这个时间限制内,API的继续使用必须有其所有者的证明,以防止自动退役。
每当活动API的新版本可用时,执行风险assessment ,以确定你是否应该升级,以及该过程应如何进行,以避免破坏生产环境。一旦你迁移到新的API,从环境中完全删除旧的API。
做好这一切可以帮助防止不当的资产管理漏洞对你的组织、用户或网络造成伤害。请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
