程序员征服安全 OWASP 十大 API 系列-资产管理不当
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
与OWASP API前十名中的大多数漏洞不同,不当的资产管理并不专门以编码缺陷为中心。相反,这个漏洞更像是人为问题或管理问题,它允许旧的 API 在本应被更新、更安全的版本所取代之后很长一段时间内仍然存在。如果仍在开发中的 API 在完全抵御威胁之前就暴露在生产环境中,也会发生这种情况。
由于微服务和云计算的出现,该漏洞尤其难以管理。在这种环境中,新服务可能会迅速启动以满足临时需求,然后被遗忘并且永远不会停用。如果将较旧的 API 与生产环境保持连接,则可能会危及整个网络。
想尝试游戏化挑战这个安全漏洞吗?走进我们的竞技场: [从这里开始]
不当的资产管理漏洞如何影响 API?
不当的资产管理漏洞是现代的产物。以业务速度发展的组织有时每天可以启动成百上千的服务和微服务。这通常可以快速完成,无需创建任何附带文档,也无需解释相关 API 的用途、需要多长时间或其重要性。这会迅速产生 API 蔓延,随着时间的推移可能会变得无法控制,尤其是在没有一揽子政策来定义 API 可以存在多长时间的情况下。
在这种环境中,某些 API 很可能会丢失、被遗忘或从未停用。
有权在正常流程之外创建新服务的用户有时也是罪魁祸首。例如,营销小组可能会创建一项服务来帮助支持即将举行的活动,例如产品发布会,然后再也不会在活动结束后将其撤回。稍后查看该服务及其关联API的人可能不知道它们为什么存在,如果没有文档,它可能仍然是个谜。他们可能不愿意将这些 API 从生产环境中移除,甚至将其升级到新版本,因为他们不知道它们有多重要,也不知道它们在做什么。
该漏洞变得危险,因为框架中 API 的安全性会随着时间的推移而提高。研究人员可能会发现漏洞,或者可以增加额外的安全措施来阻止越来越流行的攻击。除非升级,否则较旧的API可能仍然容易受到这些攻击,因此黑客通常会搜索它们或使用自动化工具来寻找它们。
在 OWASP 提供的真实示例中,一家公司升级了用于搜索用户数据库的 API,以修补关键缺陷。但是他们错误地将旧的 API 留在原处。
攻击者注意到新 API 的位置类似于 (api.criticalservice.com/v2)。通过将网址替换为(api.criticalservice.com/v1),他们得以改用存在已知漏洞的旧 API。这最终暴露了超过1亿用户的个人记录。
消除不当的资产管理漏洞
消除环境中不当资产管理漏洞的唯一方法是严格清点所有 API 及其用途和版本。这应该从清点现有 API 开始,重点关注诸如应将它们部署到哪个环境(例如生产或开发)、谁应该有网络访问权限,当然还有它们的版本等因素。
完成后,您需要实现一个流程,将文档自动添加到创建的任何新 API 或服务中。这应包括API的所有方面,包括速率限制、它如何处理请求和响应、资源共享、它可以连接到哪些端点、适用的任何相关政策,以及以后对其进行审计所需的任何其他内容。您还应避免在生产环境中使用非生产 API 或来自开发环境的 API。还可以考虑为API增加时间限制,其所有者必须证明继续使用API的合理性,以防止自动停用。
每当有新版本的活动 API 可用时,都要进行风险评估,以确定是否应该升级,以及该过程应如何进行,以避免中断生产环境。迁移到新 API 后,将旧 API 完全从环境中移除。
所有这些都有助于防止不当的资产管理漏洞损害您的组织、用户或网络。来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
