泄漏的API有可能将公司的声誉冲到海里去
在生活中,一般来说,沟通是一件伟大的事情。没有比这更快的方式来达成理解,学习新的东西,或建立关系。在软件领域,API起到了沟通的作用,使应用程序能够相互交流,提高功能和可用性。这种连接通常会创造出更丰富的体验,而这些体验是终端用户所喜爱的,并且越来越多的人开始期待他们日常生活中的软件。
然而,就像在现实生活中一样,当他们说得太多时,就会有很大的问题。益百利公司最近发现了这个问题,他们的一个API--由第三方合作伙伴使用--有可能泄露了......嗯,几乎所有美国公民的信用评分。
这个问题很快就被修补好了,但是对于这个漏洞是否真的被阻止了仍然存在疑问。如果一个供应商受到影响,那么其他供应商也很有可能受到影响,而且有可能这是一个系统性的错误,影响到所有使用该不安全API的人。
API安全是一个离大多数安全专家都不远的问题,这也是我们需要用知识来武装自己的问题。
任何一个爱耍花招的极客都可以绕过糟糕的API认证
许多数据泄露、漏洞和安全事件的一个特点是,它们很少需要一个主谋来实现。像我们在SolarWinds看到的复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,而且它们是例外而非常规。
当一个API是用弱认证建立的,它们就相当容易被利用。发现Experian的API漏洞的安全研究员Bill Demirkapi确定,它可以在没有任何认证的情况下被访问。在出生日期一栏中输入00/00/0000,他就可以访问一个人的信用评分,只使用公开的信息,如姓名和相关的邮寄地址。虽然这还没有被报道,但这些记录有可能被搜刮,并作为信用相关的数据转储(因此有价值)。
,无论用例有多小,都应该有干净和功能性的认证过程;一个没有适当安全的喋喋不休的API,并可能开放对多个系统的访问,是一种责任。
,破碎的认证是OWASP十大API漏洞列表中的第二名。在这里阅读更多关于如何避免这个漏洞的信息,一旦你喂完了你的大脑,可以在我们的平台上测试你的技能。
差劲的API安全控制是一个广泛的问题,需要进行文化变革
仅仅将矛头指向像益百利这样的组织是不公平的,但在这个特定的API曝光事件中所表现出的缺乏细微差别和安全控制方面的努力,对于那些将API作为其IT系统和终端的一部分进行导航的许多公司来说不是一个好兆头。
总的来说,我们还有很多工作要做,不仅仅是发现和修复API漏洞,还要理解它们是我们应该保护的攻击面的一部分。对API的可见性--以及它们是如何被构建的--是一个巨大的问题,这也是作为安全最佳实践的一部分应该被要求的事情。即使是拥有最严格安全措施的组织,也会发现自己被发布的API破坏了,并且在公司的安全控制之外工作。现在比以往任何时候都更重要的是,要问一个API是从哪里来的,最终是谁在维护它(是第三方供应商吗? 他们的安全性有多严格?),以及它在访问什么信息。
注入漏洞仍然是每个CISO的一个障碍。
最近披露的对Accellion的攻击显示,连锁的SQL注入和操作系统命令执行攻击使威胁者能够操纵API,提取大量的敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能实施抢劫,而这是通过大量的逆向工程来实现的。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间来造成破坏。2021年2月的进一步发现发现了一个存储的XSS漏洞,取证分析发现,只有一个API端点对用户输入进行了不适当的处理,使得在调用admin.pl脚本时有可能注入一个参数。
有超过3000个客户,包括许多著名的教育机构,这个漏洞可能影响深远。不幸的情况是,这些漏洞是通过利用常见的漏洞来实现的,其中许多漏洞本可以由有安全意识的开发人员在生产前的代码层面上解决。正如我们一次又一次看到的那样,只需要打开一个小窗口,就能造成大问题。而以人为主导的网络防御文化需要成为解决一个非常人性化问题的战略的一部分。
想测试一下你的API安全技能吗? Java Spring API, Kotlin Spring API, C# (.NET) Web API以及更多?在我们的Learning Platform (通过下拉菜单查看所有语言:框架)上尝试一些API挑战:
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
泄漏的API有可能将公司的声誉冲到海里去
在生活中,一般来说,沟通是一件伟大的事情。没有比这更快的方式来达成理解,学习新的东西,或建立关系。在软件领域,API起到了沟通的作用,使应用程序能够相互交流,提高功能和可用性。这种连接通常会创造出更丰富的体验,而这些体验是终端用户所喜爱的,并且越来越多的人开始期待他们日常生活中的软件。
然而,就像在现实生活中一样,当他们说得太多时,就会有很大的问题。益百利公司最近发现了这个问题,他们的一个API--由第三方合作伙伴使用--有可能泄露了......嗯,几乎所有美国公民的信用评分。
这个问题很快就被修补好了,但是对于这个漏洞是否真的被阻止了仍然存在疑问。如果一个供应商受到影响,那么其他供应商也很有可能受到影响,而且有可能这是一个系统性的错误,影响到所有使用该不安全API的人。
API安全是一个离大多数安全专家都不远的问题,这也是我们需要用知识来武装自己的问题。
任何一个爱耍花招的极客都可以绕过糟糕的API认证
许多数据泄露、漏洞和安全事件的一个特点是,它们很少需要一个主谋来实现。像我们在SolarWinds看到的复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,而且它们是例外而非常规。
当一个API是用弱认证建立的,它们就相当容易被利用。发现Experian的API漏洞的安全研究员Bill Demirkapi确定,它可以在没有任何认证的情况下被访问。在出生日期一栏中输入00/00/0000,他就可以访问一个人的信用评分,只使用公开的信息,如姓名和相关的邮寄地址。虽然这还没有被报道,但这些记录有可能被搜刮,并作为信用相关的数据转储(因此有价值)。
,无论用例有多小,都应该有干净和功能性的认证过程;一个没有适当安全的喋喋不休的API,并可能开放对多个系统的访问,是一种责任。
,破碎的认证是OWASP十大API漏洞列表中的第二名。在这里阅读更多关于如何避免这个漏洞的信息,一旦你喂完了你的大脑,可以在我们的平台上测试你的技能。
差劲的API安全控制是一个广泛的问题,需要进行文化变革
仅仅将矛头指向像益百利这样的组织是不公平的,但在这个特定的API曝光事件中所表现出的缺乏细微差别和安全控制方面的努力,对于那些将API作为其IT系统和终端的一部分进行导航的许多公司来说不是一个好兆头。
总的来说,我们还有很多工作要做,不仅仅是发现和修复API漏洞,还要理解它们是我们应该保护的攻击面的一部分。对API的可见性--以及它们是如何被构建的--是一个巨大的问题,这也是作为安全最佳实践的一部分应该被要求的事情。即使是拥有最严格安全措施的组织,也会发现自己被发布的API破坏了,并且在公司的安全控制之外工作。现在比以往任何时候都更重要的是,要问一个API是从哪里来的,最终是谁在维护它(是第三方供应商吗? 他们的安全性有多严格?),以及它在访问什么信息。
注入漏洞仍然是每个CISO的一个障碍。
最近披露的对Accellion的攻击显示,连锁的SQL注入和操作系统命令执行攻击使威胁者能够操纵API,提取大量的敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能实施抢劫,而这是通过大量的逆向工程来实现的。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间来造成破坏。2021年2月的进一步发现发现了一个存储的XSS漏洞,取证分析发现,只有一个API端点对用户输入进行了不适当的处理,使得在调用admin.pl脚本时有可能注入一个参数。
有超过3000个客户,包括许多著名的教育机构,这个漏洞可能影响深远。不幸的情况是,这些漏洞是通过利用常见的漏洞来实现的,其中许多漏洞本可以由有安全意识的开发人员在生产前的代码层面上解决。正如我们一次又一次看到的那样,只需要打开一个小窗口,就能造成大问题。而以人为主导的网络防御文化需要成为解决一个非常人性化问题的战略的一部分。
想测试一下你的API安全技能吗? Java Spring API, Kotlin Spring API, C# (.NET) Web API以及更多?在我们的Learning Platform (通过下拉菜单查看所有语言:框架)上尝试一些API挑战:
