リーク性のある API は企業の評判を海に流す恐れがある
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
