リーク性のある API は企業の評判を海に流す恐れがある
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
%20(1).avif)
.avif)
