泄露的API有可能使公司的声誉化为乌有
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
通常,在生活中,沟通是一件好事。要理解、学习新知识或建立关系,没有比这更快的方法了。在软件领域,API起着通信的作用,允许应用程序相互通信,从而增强功能和可用性。这种连接通常会带来更丰富的体验,最终用户喜欢,并且在日常生活中对软件的期望也越来越高。
但是,就像在现实生活中一样,当他们说话太多时,这是一个大问题。益百利最近艰难地发现了这一点,当时他们的一款API——由第三方合作伙伴使用—— 可能泄露 ... 好吧,几乎每个美国公民的信用评分。
这个问题很快就被修补了,但是这个漏洞是否真的被阻止了,仍然存在疑问。如果一家供应商受到影响,那么其他供应商很可能也受到影响,而且有可能是 系统性错误,影响任何使用该不安全 API 的人。
API 安全性是大多数安全专家心目中不远的问题,也是我们需要掌握应对的知识。
任何勇敢的极客都可以绕过糟糕的 API 身份验证
许多数据泄露、泄露和安全事件的一个特点是,它们很少需要策划者才能实现。就像我们在SolarWinds中看到的那样,复杂、阴险、破坏性的攻击需要网络犯罪天才团队来实施,它们是例外而不是常规。
当使用弱身份验证构建 API 时,它们很容易被利用。发现益百利API漏洞的安全研究人员比尔·德米尔卡皮确定无需任何身份验证即可访问该漏洞。在 “出生日期” 字段中输入 00/00/0000 可让他仅使用姓名和相关邮寄地址等公开信息,获得个人的信用评分。尽管尚未对此进行报道,但这些记录确实有可能被抓取并归纳为与信贷相关的数据转储库(因此很有价值)。
无论用例多小,都应采用干净实用的身份验证流程;没有适当保护并有可能开放多个系统的访问权限的聊天框API是一种负担。
失效的身份验证是第二位 OWASP 排名前 10 的 API 漏洞列表。 在这里阅读更多 介绍如何避免这个错误,并在你完成大脑喂养后在我们的平台上测试你的技能。
API 安全控制不力是一个普遍存在的问题,需要进行文化变革
仅指责益百利这样的组织是不公平的,但是对于许多将API作为其IT系统和端点一部分的公司而言,这种特殊的API暴露中表现出的缺乏细微差别和安全控制调查并不是一个好兆头。
总的来说,我们还有很多工作要做,不仅要发现和修复 API 漏洞,还要将其理解为我们应该保护的攻击面的一部分。API 的可见性——以及它们的构建方式——是一个非常令人担忧的问题,也是安全最佳实践的一部分。即使是采用最严格安全措施的组织,也可能会发现自己被在公司安全控制之外发布和运行的 API 所抵消。询问 API 来自哪里,最终由谁维护(是第三方供应商吗?)比以往任何时候都更加重要他们的安全性有多严格?),以及它正在访问什么信息。
注入漏洞仍然是每个 CISO 的灵药。
API 安全可能看起来像是一个相当新的模块,可以包含在安全程序中,但它可能会被我们在普通的旧网络软件中看到的一些(非常)旧技巧所利用。
一个 最近披露了对 Accellion 的攻击 透露,连锁的SQL注入和操作系统命令执行攻击允许威胁行为者操纵API,提取大量敏感数据,包括社会安全号码。他们确定,攻击者必须对Accellion的FTA软件有广泛的了解才能进行抢劫,而这本来可以通过大量的逆向工程来实现。
由于漏洞发生在2020年12月和2021年1月,盗贼有足够的时间造成损失。2021 年 2 月的进一步发现发现了一个存储的 XSS 漏洞,取证分析发现,只有一个 API 端点未正确清理用户输入,使得在调用时注入参数成为可能 admin.pl 脚本。
该漏洞拥有3000多名客户,包括许多著名的教育机构,可能影响深远。不幸的是,这些漏洞是通过利用常见漏洞实现的,其中许多漏洞本可以由具有安全意识的开发人员在预生产阶段的代码级别上解决。正如我们一次又一次地看到的那样,只需要打开一个小窗口就能产生大问题。而且,以人为主导的网络防御文化需要成为解决一个非常人性化的问题的战略的一部分。
现在想测试你的 API 安全技能 Java Spring API, Kotlin Spring API, C# (.NET) Web API 还有更多?在我们的学习平台上尝试一些 API 挑战(通过下拉菜单查看所有语言:框架):
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
